Desde la semana pasada Cisco ha tenido conocimiento de una gravísima vulnerabilidad que deja inservible a los dispositivos que se vean afectados por este fallo. Todos los dispositivos Cisco que usen IOS (Internetwork Operating System) y acepten tráfico Ipv4 (Internet protocol versión 4) pueden ser víctimas de este ataque de denegación de servicio (DoS).

En concreto, el error es debido a un problema a la hora de manejar ciertos paquetes pertenecientes a varios protocolos, en concreto: 55 (IP Mobility), 77 (SunND), 53 (SWIPE), y 103 (PIM). Por lo que, si el dispositivo recibe un paquete especialmente manipulado y dirigido a estos protocolos, puede quedar bloqueado, sin tener la posibilidad de desbloqueo tras un reinicio. El paquete especial le haría creer al dispositivo que es incapaz de manejar más tráfico, congelando por completo su actividad.

A las pocas horas de hacerse público el error, ya estaba disponible un exploit que aprovechaba la vulnerabilidad en una conocida lista de seguridad llamada “Full Disclosure”. La empresa dedicada a comercializar software de seguridad Internet Security Systems, lanzó la voz de alarma al recibir numerosos informes de ISP (Internet Service Providers) advirtiendo un inusitado crecimiento de tráfico que utilizaban protocolos tan poco habituales como los vulnerables, lo que indicaba sin lugar a dudas el uso masivo de la herramienta de denegación de servicio. Oliver Friedrichs, responsable de Symantec, advierte de que la posibilidad de la aparición y circulación de un gusano que explotara el error sí que podría poner en peligro toda la red, llevándola al colpaso. Dos de las organizaciones más importantes dedicadas a la seguridad, SANS y CERT, también han alertado del problema oficialmente en sus respectivas páginas.

Por su parte, Cisco afirma que el problema no ha sido aún explotado de forma masiva, pero que el daño potencial es muy elevado. Cabe recordar que la inmensa mayoría de sus dispositivos son vulnerables al problema, y que Cisco Systems enruta la mayor parte del tráfico de toda Internet. En el primer cuarto de 2003, controlaba el 82 por cierto del mercado de routers, según el grupo investigador de mercado Dell'Oro.

Pero los routers de Cisco podrían no ser los únicos vulnerables. Cisco demandó en Marzo de 2003 a la empresa china Huawei por copiar al menos cinco de las patentes de la compañía estadounidense, además de la gran mayoría del código fuente del sistema operativo (IOS) vulnerable al fallo descubierto. Los routers Quidway pertenecientes a Huawei, por lo tanto, podrían ser también potenciales víctimas de un ataque DoS, pues la vulnerabilidad podría estar presente también en estos dispositivos. Esta marca ha tenido en los últimos años gran popularidad en toda Asia, y últimamente había penetrado tímidamente en el mercado Norteamericano, por el que también lucha la compañía 3com.

Jim Brady, portavoz de Cisco, dijo que la compañía estaba trabajando a destajo para transmitir a todos sus clientes la gravedad del problema y para recomendarles encarecidamente a todos la necesidad de aplicar el parche correspondiente, que actualizaría el sistema operativo o, en todo caso, bloquear el tráfico a los puertos vulnerables como medida temporal.

Más información y referencias:

Cisco IOS Interface Blocked by IPv4 Packets:
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml Huawei admits to a little copying:

http://news.com.com/2100-1035-994081.html
Exploit available for the Cisco IOS Interface Blocked Vulnerabilities:
http://www.cert.org/advisories/CA-2003-17.html

Exploit In-The-Wild for Cisco Vulnerability:
http://www.sans.org/alerts/cisco.php

ISS Says Hackers Attacking Cisco Routers:
http://biz.yahoo.com/djus/030718/1313000600_1.html

Vulnerabilidad DoS en dispositivos Cisco:
http://www.hispasec.com/unaaldia/1727/

Sergio de los Santos
http://www.forzis.com