Специалисты по информационной безопасности, собравшиеся на конференции Black Hat в американском Лас-Вегасе обнародовали данные, согласно которым в большинстве используемых сегодня сетевых маршрутизаторов присутствует уязвимость, позволяющая скомпрометировать потоки корпоративных данных в сетях, сфальсифицировать сетевую топографию и создать поддельные сетевые узлы. Дело в программном баге, обнаруженном в сетевом протоколе OSPF, применяемом для работы маршрутизаторов. Исследователи говорят, что проблема является очень серьезной не только из-за возможность широкой компрометации данных, но и из-за того, что сам протокол Open Shortest Path First (OSPF) очень популярен в сетях и многие популярные опорные сети созданы именно на его основе. Согласно приблизительным подсчетам, сейчас в сети работают около 35 000 автономных систем, взаимодействующих с данных протоколом. Как правило, OSPF применяется в крупных компаниях, университетах и у интернет-провайдеров. Сейчас лишь немногие пользователи применяют альтернативные протоколы RIP или IS-IS, говорят в израильском центре Electronic Warfare Research and Simulation Center, где проблема и была обнаружена. Габи Накибли, специалист этого центра, говорит, что им удалось успешно провести OSPF-атаку против маршрутизаторов Cisco 7200 и других сетевых устройств этой компании, работающих под управлением IOS 15.0(1)M, так как именно здесь развернута уязвимая спецификация OSPF. По словам израильских специалистов, проблема кроется в самом протоколе, который допускает прием поддельных запросов новых таблиц маршрутизации от так называемых фантомных роутеров в сети. В качестве поддельных роутеров может выступать любой вычислительный узел, например хакерский ноутбук. "Фантом" отправляет поддельный LSA (link state advertisement) - периодический запрос на обновление таблиц маршрутизации на целевой маршрутизатор. Далее маршрутизатор распознает этот запрос как легитимный, так как она сверяет всего лишь порядковые номера запросов, а их можно подделать и принимает новые таблицы для маршрутизации. В итоге, у атакующих есть примерно 15 минут, когда сеть оказывается в их распоряжении - пока маршрутизатор опять не обновит таблицы. В рамках конференции Black Hat специалисты обнародовали данные по фальсификации запросов на обновление и представили конкретные примеры переадресации секретного трафика на хакерские узлы. По словам авторов методики, для реализации успешной атаки можно скомпрометировать всего один маршрутизатор, после чего атакующего достаточно представить собственный компьютер в качестве поддельного маршрутизатора.
Источник