Risque

Usurpation d'identité pouvant avoir pour conséquences un déni de service ou des « tempêtes » réseau.

Systèmes affectés

Tous les routeurs CISCO.

Résumé

Une vulnérabilité dans la gestion de l'authentification sous HSRP des routeurs CISCO permet à un utilisateur mal intentionné de falsifier l'identité d'un routeur CISCO. Cette vulnérabilité est connue depuis longtemps.

Description

Le protocole HSRP (Hot Standby Routing Protocol) est un protocole de routage implémenté dans les routeurs CISCO pour la gestion des liens de secours. HSRP sert à augmenter la tolérance de panne sur le réseau.

D'après CISCO, HSRP n'est pas un protocole sécurisé. Il n'est pas activé par défaut.

Dans ce protocole, la clé d'authentification des communications entre routeurs est diffusée en clair sur le réseau, et permet à une machine falsifiant l'adresse IP d'un des routeurs d'entraîner un mauvais routage des paquets et des conflits de priorité entre les routeurs.

Cette vulnérabilité permet entre autre chose d'effectuer un déni de service, ou une « tempête » sur le réseau. Des outils exploitants de cette vulnérabilité ont été diffusés sur l'Internet.

Contournement provisoire

  • Filtrer le port 1985 en UDP pour les packets provenant de l'extérieur du réseau impliqué.
  • CISCO propose d'installer IPSec entre les routeurs conformément au document cité dans le paragraphe documentation afin de chiffrer les communications HSRP et par conséquent la clé d'authentification.
  • Utiliser un autre protocole : VRRP à la place de HSRP.

Solution

CISCO n'a pas l'intention de développer de correctif pour cette vulnérabilité.

Documentation

http://www.cisco.com/networkers/nw00/pres/2402.pdf