Специалисты по информационной безопасности, собравшиеся на конференции Black Hat в американском Лас-Вегасе обнародовали данные, согласно которым в большинстве используемых сегодня сетевых маршрутизаторов присутствует уязвимость, позволяющая скомпрометировать потоки корпоративных данных в сетях, сфальсифицировать сетевую топографию и создать поддельные сетевые узлы. Дело в программном баге, обнаруженном в сетевом протоколе OSPF, применяемом для работы маршрутизаторов.
Исследователи говорят, что проблема является очень серьезной не только из-за возможности широкой компрометации данных, но и из-за того, что сам протокол Open Shortest Path First (OSPF) очень популярен в сетях и многие популярные опорные сети созданы именно на его основе. Согласно приблизительным подсчетам, сейчас в сети работают около 35 000 автономных систем, взаимодействующих с данных протоколом.
Как правило, OSPF применяется в крупных компаниях, университетах и у интернет-провайдеров.
Сейчас лишь немногие пользователи применяют альтернативные протоколы RIP или IS-IS, говорят в израильском центре Electronic Warfare Research and Simulation Center, где проблема и была обнаружена. Габи Накибли, специалист этого центра, говорит, что им удалось успешно провести OSPF-атаку против маршрутизаторов Cisco 7200 и других сетевых устройств этой компании, работающих под управлением IOS 15.0(1)M, так как именно здесь развернута уязвимая спецификация OSPF.
По словам израильских специалистов, проблема кроется в самом протоколе, который допускает прием поддельных запросов новых таблиц маршрутизации от так называемых фантомных роутеров в сети. В качестве поддельных роутеров может выступать любой вычислительный узел, например хакерский ноутбук.
«Фантом» отправляет поддельный LSA (link state advertisement) — периодический запрос на обновление таблиц маршрутизации на целевой маршрутизатор. Далее маршрутизатор распознает этот запрос как легитимный, так как она сверяет всего лишь порядковые номера запросов, а их можно подделать, и принимает новые таблицы для маршрутизации. В итоге, у атакующих есть примерно 15 минут, когда сеть оказывается в их распоряжении — пока маршрутизатор опять не обновит таблицы.
В рамках конференции Black Hat специалисты обнародовали данные по фальсификации запросов на обновление и представили конкретные примеры переадресации секретного трафика на хакерские узлы.
По словам авторов методики, для реализации успешной атаки можно скомпрометировать всего один маршрутизатор, после чего атакующему достаточно представить собственный компьютер в качестве поддельного маршрутизатора.
Источник: www.cybersecurity.ru
