Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Téléguidage de routeur CISCO via IRC

Téléguidage de routeur CISCO via IRC
2011-08-242013-04-10DDoS/Botnetsfr
Après le rootkit, il s'agit cette fois de contrôler un routeur CISCO via un canal IRC (Internet Relay Chat) : Le routeur CISCO va se connecter directement (et automatiquement) à un canal IRC afin de prendre ses instructions pour ensuite les exécuter. L'article "Controlling a Cisco IOS...
Publié le 24 Août 2011 par Jean-François Audenard dans DDoS/Botnets
téléguidage de routeur CISCO via IRC

La possibilité d'exécuter des programmes (en l'occurence des scripts TCL) directement au coeur de routeurs CISCO n'est pas sujet nouveau : Nous l'avions abordé dans un précédent bulletin intitulé "Cheval de Troie/rootkit sur routeur CISCO IOS: Le langage TCL incriminé, 5 Mai 2010".

Après le rootkit, il s'agit cette fois de contrôler un routeur CISCO via un canal IRC (Internet Relay Chat) : Le routeur CISCO va se connecter directement (et automatiquement) à un canal IRC afin de prendre ses instructions pour ensuite les exécuter. L'article "Controlling a Cisco IOS device from an IRC channel, August 6, 2011" publié sur le site du SANS ISC explique que ce type d'attaque est tout à fait réaliste.

un cocktail détonant

En mixant ces deux techniques, Manuel Humberto Santander Pelaez nous explique qu'un administrateur réseau ne pourra que très difficilement détecter une compromission (grâce à la fonction rootkit) et perdra le contrôler de son infrastructure réseau.... dangeureux, très dangeureux même.

En l'état le script TCL du client IRC n'implémente que la fonctionnalité de "Ping" ; sa structure étant cependant très simple il pourra être facilement enrichi avec de nouvelles fonctionnalités. Si IRC semble barbare, les communications pourraient tout à fait être basées sur le protocole HTTP ("CISCO IOS Hints and Tricks, Generate HTTP(S) requests from Tcl shell").

L'un des scénarios serait de monter une armée de routeurs zombies (cad un botnet) qui seraient pilotés à distance par un attaquant. Rien de bien nouveau me direz vous, des routeurs basés sur un noyeau Linux ont déjà été ciblés par ce type d'attaque : "Des box Internet et des routeurs infectés par le ver psyb0t, 25 Mars 2009"

protéger l'accès à ses routeurs

D'un coté, il est essentiel de sécuriser l'accès à ses routeurs, donc d'utiliser des protocoles d'accès sécurisés (donc pas de Telnet) et de préférer des protocoles sécurisés comme SSHv2 (en faisant attention aux attaques de downgrade) le tout allié à l'utlisation de mots de passe forts. La présentation de Manuel décrit de façon claire les risques liés à l'utlisation de protocoles non sécurisés et liste les techniques et outils d'attaque. Plus d'excuse pour prêcher l'ignorance !

signer numériquement les scripts

De l'autre coté, les scripts TCL peuvent être signés numériquement : Un script dont la signature ne peut être vérifiée ne sera pas lancé par le routeur. La démarche et sa mise en place est décrite sur la page "Security in Tcl Scripts for Cisco IOS" du site CISCOPress. Oui, sur le papier cela semble marcher : Après dans la vraie vie c'est assez rare de voir une PKI de déployée au coeur d'une infrastructure réseau....

4 Commentaires

  • 4 Septembre 2011
    2011-09-04
    par
    Sur le fond, il est important que ces règles (mot de passe forts, accès en SSH, ...) soient respectées. Après, la vie étant ce qu'elle est, il faut remettre les choses dans leur contexte car tout est une question d'exposition aux sources de risque. Si les interfaces d'admin des routeurs ne sont accessibles/visibles que depuis des serveurs de rebond (par exemple via des ACLs) alors on peut tolérer un Telnet. Si par contre, les interfaces d'admin sont visibiles pour n'importe quel utilisateur du réseau (ou pire en direct sur Internet) alors là effectivement, il y de quoi avoir peur ou de faire sans sa petite culotte (chacun réagit comme il veut non ? ;-) ).
    Bonne fin de week-end !
    Jeff.
  • 1 Septembre 2011
    2011-09-04
    par
    Exact, et ceci est parfois d'actualité sur des routeurs du réseau Renater... Ca fait peur!
  • 1 Septembre 2011
    2011-09-04
    par
    Bonjour Nicolas.
    Merci de rappeler ces fondamentaux de base : C'est pas là qu'il faut commencer avant d'aller dans des choses plus évoluées comme ce pilotage à distance via scripts TCL... Concernant les routeurs, en plus des mots de passe les communautés SNMP sont elles rarement changées... on alors sont triviales... en RW et sans aucune "vue SNMP" pour limiter leur droits.
  • 31 Août 2011
    2011-09-04
    par
    Il est important aujourd'hui de rappeler les règles de base de la sécurité concenrnant les mots de passe, car il existe (encore!) des routeurs installés avec des mots de passe par défaut ou très simples à deviner... Une hérésie!

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage