Podnikové sítě v ohrožení: routery s OSPF lze snadno kompromitovat

5. 8. 2011

Sdílet

Výzkumníci na konferenci Black Hat konané v Las Vegas přišli s informací, že ve většině nejrozšířenějších korporátních směrovačů je přítomna zranitelnost. Za jejím základě jsou podle zmíněných přednášejících firemní sítě ohroženy ataky, které mohou vést ke kompromitaci datových toků či zfalšování síťové topografie.

Problém je podle autorů zprávy velmi vážný nejen kvůli tomu, jak závažné škody může útočník způsobit, ale také tím, že zasažený protokol OSPF je široce užíván a proto je ohrožena velká část podnikové infrastruktury.

Open Shortest Path First (OSPF) patří mezi vůbec nejpopulárnější směrovací protokoly využívaný v zhruba 35 tisících autonomních systémů v internetu. Tyto autonomní systémy jsou využít například velkými korporacemi, poskytovateli internetových služeb či univerzitami.

bitcoin_skoleni

„Nápravou je použití alternativních protokolů, jako je například RIP nebo IS-IS, anebo změnit nastavení OSPF tak, aby nebyl nadále zranitelný," tvrdí Gabi Nakibly, vědec působící v izraelské organizaci Electronic Warfare Research and Simulation Center, jež problém objevila.
Sám Nakibly tvrdí, že úspěšně vyzkoušel exploit týkající se zranitelnosti na routeru Cisco 7200 se softwarem version IOS 15.0(1)M, ale lze jej stejně efektivně využít i proti jakémukoliv dalšímu směrovači s podporou specifikací OSPF. Problém podle něj spočívá přímo v samotném protokolu OSPF, jež může přijmout falešné aktualizace směrovacích tabulek  od tzv. fantomů v síti – k tomu může posloužit třeba notebook. Fantom posílá falešné LSA (link state advertisement), tedy periodické aktualizace tabulek na cílový směrovač. Ten je přijme jako legitimní a potvrdí jejich autenticitu.

Exploit ale vyžaduje, aby alespoň jeden router v síti byl kompromitován kvůli šifrovacímu klíči pro LSA. Fanotm také musí být fyzicky přítomen v zasažené sítí.