Une faille touchant les routeurs et commutateurs du leader mondial des réseaux les rend d'autant plus vulnérables qu'un code pour l'exploiter a été publié. (Mardi 22 juillet 2003)
Une fois de plus, les administrateurs
réseaux sont confrontés à une course
contre la montre difficile à tenir. A peine le
patch résolvant une faille sur des routeurs Cisco
a-t-il été publié que des attaques
ont été constatées. L'épineux
problème de la complexité du traitement
des failles et de la réactivité des administrateurs
est à nouveau relancé.
La faille en question concerne le logiciel IOS (Internet
Operating System),
système d'exploitation des routeurs et commutateurs
CISCO. Seuls les configurations traitant des paquets de
données IPv4 sont concernées. Mais un outil
pour exploiter cette faille a rapidement été
diffusé sur une liste de discussion, compliquant
sensiblement la tâche des administrateurs.
Patch
et code d'exploitation publiés à 24 heures
d'intervalle Par le biais de
cette faille, des attaques en déni de service sont
possibles, causant l'arrêt des machines qui tournent
sous IOS. La société ISS
X-Force, spécialisée dans la sécurité,
déclare en avoir constatées sur le réseau
de manière localisée. Cisco, de son côté,
affirme ne pas avoir été informé
de l'existence d'attaques particulières. Mais ce qu'il est
intéressant de constater dans cette affaire, c'est
que le lendemain même de la publication d'un patch
par Cisco (publication effectuée le jeudi 17 juillet),
le code d'exploitation de cette faille (le code malicieux
lui-même) était diffusé sur la liste
de discussion du Full
Disclosure. Peu après la parution de ce
code, les premières attaques étaient enregistrées
par ISS X-Force.
Des
niveaux d'alerte réhaussés Dans ces conditions
- publications presque simultanées d'un patch et
du code pour exploiter la faille - les éditeurs
d'anti-virus ont relevé d'un cran leur niveau d'alerte.
C'est le cas de Symantec
qui, sur une échelle de 1 à 4, à
élevé son niveau d'alerte (Security Response
ThreatCon) au niveau 3, un niveau déjà atteint
par les célébres CodeRed, SQL Slammer (Sapphire)
et autres BugbearB. ISS X-Force en a fait de même.
"Nous l'avons fait plus en fonction du nombre de
routeurs concernés dans le monde que de l'étendue
du risque en lui-même", précise Philippe
Nault, directeur de l'équipe ingénieurs avant vente chez
Symantec.
Chaouki Bekrar, consultant
sécurité chez A.D.Consulting
et responsable du bugtraq Français (K-OTik)
ajoute : "le danger est toujours présent, car de
nouveaux outils automatiques et semi-automatiques viennent
d'être réalisés par des pirates, mais ils ne sont pas
encore publiés. Les routeurs Cisco représentent plus de
80% des routeurs Internet, les prochaines semaines pourraient
être douloureuses si les dispositions nécessaires ne sont
pas prises rapidement par les responsables informatiques".
Au mois de janvier dernier, le ver Sapphire avait paralysé
le Web mondial en exploitant une faille SQL dont le patch
était disponible depuis six mois (lire notre
article). Cette fois-ci, les administrateurs devront
réagir plus vite, mais la tâche n'est pas
aisée vu la précipitation des événements...