29. Dezember 2008

25C3: Cisco IOS attack and defense

Category: CCC — Christian @ 22:53

FX von Phenoelit ist einer der wenigen, die sich mit Cisco IOS beschäftigen und Sicherheitslücken gefunden sowie Exploits geschrieben haben. Cisco hat den größten Marktanteil und ist relativ schwierig zu hacken, im Gegensatz beispielsweise zu Juniper, deren JunOS weitgehend auf FreeBSD basiert. Natürlich ist Cisco deshalb auch für Hacker interessant. Router und Switches sind auch interessant, weil man damit die komplette Netzwerkinfrastruktur übernehmen kann. Man IST dann das Netzwerk.

  • IOS-Geräte sind lange in Betrieb und werden selten aktualisiert
  • IOS-Geräte werden immer komplexer mit immer mehr Software, die Angriffsoberfläche wird größer
  • Es gibt diverse Backdoored IOS Images die unbedarfte Admins aus dem Internet runterladen

Im Gegenzug sind Angriffe gegen IOS sehr komplex und schwierig. Ein Angreifer möchte einen zuverlässigen Halt im netzwerk erhalten und nicht schnell wieder rausfliegen. Allerdings sind inzwischen gute Windows Exploits mit Rootkit ebenfalls in der Preisklasse von 40.000 USD, daher lohnt es sich laut FX langsam, insbesondere für Agencies, andere Systeme ins Visir zu nehmen.

Die Angriffe lassen sich in verschiedene Klassen aufteilen:

  • Functionality attacks
    • weak passwords
    • weak SNMP communities
    • posting the configuration in Internet forums
  • Access check vulnerabilities
    • Ciscos HTTP Level 16++ vulnerability (alt)
    • SNMPv3 HMAC verification vulnerability (Buffer Overflow von 2008: memcmp(MyHMAC, PackHMAC, PackHMAC_len);)
    • Debianized SSH Keys
  • Queuing Bugs
    • Denial of Service
  • Router Service Vulnerabilities
    • diverse Phenoelit-Exploits

Erfolgreiche Angriffe können auf verschiedenen Wegen erkannt werden:

  • SNMP, Syslog
  • Configuration Monitoring/Polling
  • Router Monitoring
  • Traffic Monitoring

Beweise einer Kompromittierung sind schwierig zu erhalten, die beste Möglichkeit ist Core Dumps zu analysieren. Dabei hilft die Defaulteinstellung von Cisco, Core Dumps zuschreiben und zu rebooten (was relativ häufig bei Fehlern vorkommt). FX hat deshalb einen Cisco Core Dump Analyzer mit umfangreichen Funktionen geschrieben. Zur Zeit ist das vermutlich das beste Tool zur Analyse von Cisco Coredumps, das verfügbar ist. Auf die Funktionen will ich im Detail hier jedoch nicht eingehen.

FX erklärte dann im Detail, welche Möglichkeiten es gibt, IOS-Exploits zu schreiben und verläßliche Exploits zu konstruieren, da es etwa 100.000 verschiedene IOS-Images gibt, von denen vielleicht noch 19.000 von Cisco supported werden. Das ist elend kompliziert und ich bin sicher, ich werde in absehbarer Zeit keinen Cisco-Exploit schreiben. Aber ich bin mir sicher, wir werden in Zukunft mehr Arbeiten in diese Richtung sehen. insbesondere, da Cisco angekündigt hat, IOS auf VMware anbieten zu wollen.

Die beste Schutzmaßnahme sind ACLs auf dem Router, die Pakete direkt an den Router gerichtet blockieren.

Sehr nett übrigens, man scannt bei Eggcode im RAM heute nicht mehr nach 0x0E66C0DE sondern nach 0xFEFEB106 (Leetspeek für Fefe-Blog 🙂

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 11. März 2009 @ 17:19

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.