RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Cisco Security Advisory

Cisco IOS Interface Blocked by IPv4 Packet

[Cisco, 17.07.2003, revisão 01]


O CAIS está repassando o alerta de segurança divulgado recentemente pelo PSIRT (Grupo de Segurança dos produtos Cisco) a respeito de uma séria vulnerabilidade no IOS (Internetwork Operating System) que permite ser explorada remotamente por um atacante, possibilitando ataques do tipo DoS (Denial-of-Service) nos dispositivos vulneráveis. Basicamente, este tipo de ataque ocasionaria o bloqueio de pacotes numa determinada interface e conseqüentemente o desligamento da mesma.

O alerta ganha proporções, não apenas pela diversidade de sistemas afetados por esta vulnerabilidade, mas também pelo fato dos equipamentos Cisco serem amplamente utilizados para compor a infra-estrutura de redes IP, principalmente a dos provedores Internet.

Sistemas Afetados

Todos os dispositivos Cisco rodando o software Cisco IOS e configurados para processar pacotes IPv4.

Aqueles dispositivos Cisco que não utilizam o IOS e os que operam "exclusivamente" em ambientes IPv6 não são afetados.

Correções disponíveis

Recomenda-se que se atualize com urgência o IOS para uma versão não vulnerável, conforme tabela detalhada no próprio alerta da Cisco.

Vale ressaltar que as atualizações de IOS podem requerer também upgrade de memória, logo é recomendado certificar se o dispositivo tem memória suficiente para abrigar o novo IOS.

Caso não seja possível a atualização imediata, o risco pode ser mitigado através do uso de ACLs adequadas, e dependerá da topologia da rede.

Maiores detalhes sobre a aplicação das mesmas podem ser encontrados em:

http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

Para verificar se uma determinada interface foi bloqueada e portanto se o dispositivo foi comprometido, deve-se usar o comando: 'show interfaces' e verificar o "tamanho da fila de entrada", especificado pelo primeiro valor da linha:

Input queue: X/Y/Z/W

Um valor de X maior do que 75 indicará que a interface encontra-se bloqueada.

Maiores informações:

Cisco Security Advisory: Cisco IOS Interface Blocked by IPv4 Packet
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

CERT® Advisory CA-2003-15 Cisco IOS Interface Blocked by IPv4 Packet
http://www.cert.org/advisories/CA-2003-15.html

Cisco IOS Remote Denial of Service Vulnerability
https://gtoc.iss.net/xforce/alerts/id/148

http://www.cisco.com/warp/public/707/racl.html
http://www.cisco.com/warp/public/707/iacl.html

Embora ainda não se tenha indícios da existência de exploit que explore esta vulnerabilidade, o CAIS recomenda fortemente aos administradores que sejam tomadas as devidas providências com urgência.



Centro de Atendimento a Incidentes de Segurança


Referências:

Cisco Security Advisory

cisco17072003.txt download do arquivo

formato: text/plain



Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais