Llegamos a ustedes gracias a:



Noticias

Black Hat: Routers que usan OSPF se encuentran abiertos a ataques

[10/08/2011] Un investigador participante de la feria Black Hat ha revelado una vulnerabilidad en el protocolo más usado en los routers corporativos que expone a las redes que los utilizan a ataques que comprometen los flujos de datos, falsifican la topografía de la red y crean bucles que paralizan a los routers.

El problema es grave no solo por el daño que un atacante podría causar, sino también porque el protocolo, OSPF, tan comúnmente usado que muchas redes, es vulnerable. Open Shortest Path First (OSPF) es el protocolo de enrutamiento más utilizado en los aproximadamente 35 mil sistemas autónomos en que está divida la Internet.
Normalmente las grandes empresas, universidades e ISP ejecutan sistemas autónomos.
La única solución al problema es utilizar otro protocolo como el RIP o el IS-IS o cambiar el OSPF para acabar con la vulnerabilidad, señaló Gabi Nakibly, investigador del Electronic Warfare and Simulation Center de Israel, quien descubrió el problema.
Nakibly afirma que ha explotado con éxito esta vulnerabilidad en un router Cisco 7200 que ejecuta un software versión IOS 15.0 (1) M, pero eso puede ser igualmente efectivo contra cualquier router compatible con OSPF. El investigador señaló que eligió el router Cisco para resaltar la gravedad del problema, dado que Cisco domina el mercado de routers.
El problema yace en el protocolo OSPF en sí mismo, ya que éste puede ser usado por el atacante para enviar actualizaciones falsas de las tablas de enrutamiento provenientes de routers fantasma en la red -Nakibly afirmó que usó una laptop conectada a la red que estaba atacando.
El router fantasma envía un link state advertisement (LSA) -una actualización periódica de las tablas de enrutamiento- falso al router destino. El router destino acepta esta información como legítima porque, para verificar su autenticidad, lo único que revisa es el número de secuencia LSA más reciente, que contiene el checksum apropiado y tiene más o menos 15 minutos de antigüedad.
Nakibly describió la forma de falsificar todos estos parámetros y superar el mecanismo de defensa del protocolo, llamado figthback, que precisa el flujo de LSA en lugar de los falsos.
El LSA falso puede ser especialmente diseñado para crear ciclos de router, enviar determinado tráfico a destinos particulares o atascar una red haciendo que los routers víctima envíen tráfico a routers que no existen en la topología real de la red, sostuvo.
El ataque requiere de un router comprometido en la red, de modo que la llave de encriptación usada para el tráfico LSA entre los routers de la red pueda ser levantada y usada por el router fantasma. El ataque también requiere que el router fantasma esté conectado a la red, señaló Nakibly.
Para iniciar el ataque, el router fantasma se presenta como vecino del router víctima, que debe ser el router designado en la red. Los routers designados almacenan tablas completas de la topología de la red, y difunden actualizaciones a los otros routers.
Nakibly presentó un segundo ataque que no fue tan efectivo, pero igualmente aprovechó una vulnerabilidad en la especificación del OSPF.
Tim Greene, Network World (US)