Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Desde hace unos días, es conocido un grave problema en equipos Cisco, concretamente en su sistema operativo IOS, y afecta a un elevado número de equipos de esta compañía, que como sabemos es clave en la interconexión de muchos nodos en Internet, y en muchos lugares críticos. A continuación os pongo la noticia emitida por CyruxNET, que explica muy claramente lo acontecido sobre este problema:

El pasado 27 de Julio durante la edición USA de las conferencias "Black Hat" ( http://www.blackhat.com ) el experto en seguridad Michael Lynn (empleado de la compañía ISS) pretendía dar una ponencia en la que expondría una grave vulnerabilidad, desconocida hasta el momento, en el sistema IOS (Internet Operating System, corazón del software utilizado por Cisco) que permite ejecutar código en los routers Cisco, un fallo de este tipo puede poner en peligro la integridad de toda la red.

Durante las tres semanas anteriores a la conferencia, Cisco trató por todos los medios de evitar que la charla tuviese lugar mediante duras negociaciones con la gente de ISS y de Black Hat.

Dos dias antes del dia que tendría lugar la conferencia, la gente de Cisco se encargó de destruir todo el material impreso en el que figuraba la presentación de Michael Lynn, mas de 2000 CD´s fueron destruidos.

Al final se llegó a un acuerdo con la compañía ISS, poco antes de la conferencia, en el cual se permitía a Michael Lynn dar la conferencia, pero sobre otro tema.

El miercoles, cuando Lynn iba a comenzar su conferencia, sorprendió a todo el mundo al abrir su intervención con la renuncia pública a su empleo en ISS, tras lo cual llevó a cabo la conferencia sobre las vulnerabilidades del sistema IOS.

Lynn declaró: "Siento que tengo que hacer lo correcto para el pais y para las infraestructuras nacionales, está confirmado que los chicos malos están trabajando en esto (comprometer el IOS), lo correcto ahora es hacer que todo el mundo sepa que es vulnerable".

Cisco emprendió acciones legales contra Lynn.

La mayor parte de las infraestructuras de internet funcionan sobre hardware Cisco. Aunque en otras ocasiones se han publicado fallos en estos equipos, los efectos eran simplemente una degradación del servicio.

La nueva técnica publicada por Lynn permite tomar el control de IOS utilizando un bufer overflow o un heap overflow. Aunque la explicación de Lynn está basada en unos overflows parcheados el pasado abril (aunque muchos equipos siguen siendo vulnerables), esta técnica puede ser utilizada con cualquier otro overflow que se descubra, convirtiendo así un ataque de degradación del servicio en un control total del sistema y por lo tanto, de las resdes adyacentes.

"Cuando atacas un equipo tienes el control del equipo, cuando atacas un router tienes el control de toda la red": Michael Lynn.

Ayer (dia 29 de Julio) Lynn, Cisco y ISS han llegado a un acuerdo mediante el cual Lynn se compromete a no repetir su ponencia ni utilizar el código de IOS, a cambio Cisco retira las acciones legales que había emprendido contra él. Por su parte Black Hat se ha comprometido a no hacer pública la presentación de Lynn.

La compañía Cisco ha publicado, dos dias después de la presentación de Lynn el advisory de la vulnerabilidad:
http://www.cisco.com/warp/public/707/cisco-sa-20050729-ipv6.shtml

A pesar de los intentos de Cisco por no publicar la información de Lynn, y de que la gente de Black Hat se ha comprometido a no hacer pública la presentación, os la podeis bajar aquí mismo: michael-lynn-ios-cisco.pdf

Mas información:
http://www.securityfocus.com/news/11259
http://www.diarioti.com/gate/n.php?id=9248

Este fragmento ha sido tomado de: http://cyruxnet.org/archivo.php?20050730