OSSIR Groupe SUR. Réunion du du septembre 2005 EADS. Réunion OSSIR du 13/09/2005. page 1

Transcription

1 OSSIR Groupe SUR Réunion du du septembre 2005 page 1

2 Sécurité IOS Nicolas RUFF EADS-CCR page 2

3 Plan Introduction Historique des attaques sur IOS Etat de de l'art Présentation de de Mickael Lynn Evolutions futures de de IOS La La polémique Questions // réponses page 3

4 Introduction Les Les attaques sur sur les les routeurs ont ont toujours été étél'objet de de fantasmes Les Les protocoles protocoles de de routage routage (BGP, (BGP, etc.) etc.) Mais Mais également également les les équipements équipements eux-mêmes eux-mêmes Jusqu'à présent, les les seules seules attaques vues vues se se limitent à Du Du "brute "brute force" force" de de mot mot de de passe passe Du Du DoS DoS Attaques Attaques TCP-RST, TCP-RST, ICMP ICMP Exploitation Exploitation des des failles failles zlib, zlib, SNMP, SNMP, OpenSSH OpenSSH dans dans IOS IOS Vol Vol de de NetBlock NetBlock Du Du détournement détournement de de trafic trafic après après compromission compromission Phrack Phrack #56 #56 0x0A 0x0A : : "things "things to to do do in in Ciscoland Ciscoland when when you're you're dead" dead" (2000) (2000) Etablissement Etablissement d'un d'un tunnel tunnel GRE GRE Et Et des des attaques attaques via via HTTP HTTP Le Le fameux fameux /level/16/exec /level/16/exec Les Les seuls seuls incidents graves graves reportés publiquement découlent de de bogues ou ou de de mauvaises configurations Ex. Ex. incident incident AS AS (1997), (1997), Cisco Cisco Wedge WedgeBug Bug page 4

5 Introduction Plusieurs facteurs contribuent à la la crédibilité des rumeurs d'attaques Monoculture "Cisco" Rôle critique des des routeurs dans les les infrastructures Absence d'outils de de protection natifs pour routeurs Protections externes type type TripWire sur sur la la configuration Des développements récents ont eu eu lieu sur le le sujet des attaques du du système d'exploitation Cisco :: IOS C'est le le sujet de de cette présentation Le Le projet HoneyNet s'est équipé de de "HoneyRouters" page 5

6 Historique des attaques sur IOS Premier papier notable sur le le sujet Auteur :: FX FX du du groupe Phenoelit Date :: 2002 (BH (BH US US 2002, Defcon X) X) Principe de de fonctionnement du du heap et et exploitation Exploitation en en combinant par par exemple :: "HTTP "HTTP GET" GET" BoF BoF "UDP "UDP Data Data Leak" Leak" page 6

7 Historique des attaques sur IOS Puis Auteur :: toujours FX FX Date :: fin fin 2002 (CCC 2002, BH BH US US 2003) Une Une exploitation complète :: "Heap "HeapOverflow" dans dans le le protocole OSPF OSPF Code Code d'exploitation disponible Ecrase Ecrase la la NVRAM (et (et change les les mots mots de de passe) passe) Note :: requière une une configuration matérielle particulière sur sur le le routeur pour fonctionner page 7

8 Etat de l'art Avec le le temps, des informations ont fui fui Code source IOS IOS Le Le code code source source s'est s'est retrouvé dans dans la la nature nature au au moins moins 2 fois fois de de manière certaine IOS IOS :: se se trouve trouve sur sur emule emule IOS IOS :: Note Note ::"il "il parait" parait" que que le le code code source source se se trouve trouve sur sur les les portables de de tous tous les les senior senior engineers Cisco Cisco Documents Officiels "Inside "Inside Cisco Cisco IOS IOS Software Software Architecture" Architecture" (Cisco (Cisco Press) Press) Note Note :: certains certains documents documents anciens anciens sont sont très très détaillés détaillés!! Ou Ou non non "Cisco "Cisco IOS IOS Programing ProgramingGuide" page 8

9 Etat de l'art Analyse logicielle Possibilité de de débogage à distance via via GDB* GDB* ** En En fait fait :: rommon, rommon, IOS IOS lui-même, lui-même, et et "remote "remotegdb" IOS IOS est est compatible compatible "gdb" "gdb" mais mais les les fonctions fonctions disponibles disponibles sont sont plutôt plutôt limitées limitées Read Read / / Write Write [reg [reg mem] mem] Continue Continue / / Step Step / / Kill Kill Last Last signal signal Toggle Toggle Debug Debug IOS IOS :: pas pas mieux mieux Analyse de de firmwares Cisco6509_Reverse.tar.bz2 Cisco6509_Reverse.tar.bz2 Analyse de de coredumps Très Très peu peu d'informations d'informations disponibles disponibles Analyse Analyse en en ligne ligne par par Cisco Cisco page 9

10 Etat de l'art Au Au niveau matériel Un Un cœur cœur Motorola (m68k), MIPS MIPS ou ou PPC PPC Evolution Evolution vers vers x86 x86? Des Des ASIC ASIC et et des des FPGA FPGA autour autour De De la la Flash, Flash, de de la la NVRAM, de de la la RAM, RAM, La La plupart des des données sont stockées dans le le tas tas (heap) IOS IOS utilise utilise très très peu peu la la pile pile (stack) (stack) Le Le problème du du m68k :: absence de de MMU!! Il Il est est impossible de de protéger des des pages pages mémoire contre contre l'écriture Donc Donc IOS IOS effectue une une vérification d'intégrité des des pages pages mémoire toutes toutes les les secondes!! Reload Reloaddu du système système en en cas cas de de problème problème détecté détecté Attaques possibles Exploitation de de "Heap "HeapOverflow" dans dans IOS IOS (fenêtre secondes) Exploitation de de Mini-IOS au au reboot reboot (fenêtre secondes) page 10

11 Etat de l'art Bloc alloué Bloc alloué MAGIC 0xAB1234CD MAGIC 0xAB1234CD PID PID Somestuff Somestuff Somestuff Somestuff Somestuff Somestuff NEXT BLOCK NEXT BLOCK PREV BLOCK PREV BLOCK BLOCK SIZE BLOCK SIZE some ref some ref DATA DATA RED ZONE 0xFD0110DF RED ZONE 0xFD0110DF Structure du tas (d'après FX) Header additionnel pour les blocs libres Header additionnel pour les blocs libres MAGIC2 MAGIC2 Somestuff Somestuff PADDING PADDING PADDING PADDING FREE NEXT FREE NEXT FREE PREV FREE PREV page 11

12 Présentation de Michael Lynn Au Au départ départ :: un un "heap "heapoverflow" dans dans le le support IPv6 IPv6 ou ou une une faille faille plus plus ancienne? Ensuite :: un un "shellcode" exécuté sur sur la la machine "Connect "Connectback shell" shell" complet complet!! Les Les nouveautés :: Fiabilise Fiabilise l'exploitation l'exploitation des des "Heap "HeapOverflow" par par rapport rapport à la la technique technique de de FX FX En En faisant faisant croire croire au au routeur routeur que que la la réinitialisation réinitialisation est est en en cours, cours, il il est est possible possible de franchir de franchir la la barrière barrière des des à secondes secondes Désactiver Désactiver les les interruptions interruptions hardware hardware pour pour gagner gagner encore encore du du temps temps La La corruption corruption générale générale du du tas tas laisse laisse 2 à 5 minutes minutes avant avant le le crash crash Michael Lynn Lynn estime estime que que 1 bogue bogue sur sur est est exploitable Et Et surtout les les technologies de de virtualisation prévues dans dans les les prochains IOS IOS vont vont rendre rendre les les adresses beaucoup plus plus prédictibles!! page 12

13 Evolutions futures de IOS L'avenir d'ios :: modularité, virtualisation IOS-XR tourne sur sur QNX-Neutrino A destination des des séries séries pour pour le le moment Développement en en cours cours pour pour séries séries et et (?) (?) Les Les images Cat6k vont être être vendues avec une une liste liste d'options _white_paper0900aecd80313e09.shtml Evolution des avis de de sécurité Cisco "Impact :: successful exploitation of of the the vulnerability on on Cisco IOS IOS may may result in in a reload of of the the device or or execution of of arbitrary code. Repeated exploitation could result in in a sustained DoS DoS attack or or execution of of arbitrary code on on Cisco IOS IOS devices." page 13

14 La polémique Quelques semaines avant BH BH US US 2005, Cisco s'affole CDs CDs contenant les les supports sont sont détruits Des Des dizaines de de gens gens envoyés par par Cisco Cisco pour pour arracher les les pages pages de de présentation Opération Opération filmée filmée :: une une mauvaise mauvaise opération opération de de PR PR Michael accepte de de faire faire une une présentation sur sur VoIP VoIPà la la place place Mais Mais change change son son fusil fusil d'épaule d'épaule au au dernier dernier moment moment!! Il Il démissionne démissionne d'iss d'iss et et effectue effectue sa sa présentation présentation Les Les transparents se se retrouvent évidemment sur sur Internet quelques jours après Les Les questions Michael Lynn Lynn a-t-il a-t-il violé violéle le NDA NDA qui qui liait liait ISS ISS et et Cisco Cisco? Est-il Est-il un un chevalier du du Bien Bien ou ou travaille-t-il à sa sa carrière? page 14

15 La polémique 5 jours après, McAfee prétend avoir une signature dans son IDS _ htm Mais pour quelle attaque?????? Compromission de de la la base d'utilisateurs du du site Cisco.com Peu Peu de de temps après la la conf' Vol Vol (?) (?) de de tous les les login // mot mot de de passe du du site site support Permet ainsi ainsi de de télécharger *toutes* les les versions de de IOS IOS Les Les utilisateurs doivent téléphoner au au support pour réactiver leur leur compte page 15

16 Questions / réponsesr Questions // réponses Remerciements Nicolas Fischbach L'équipe EADS // DCR // SSI SSI Et Et particulièrement Philippe Biondi Biondi page 16