Hackeři kolem Black Hat dělají Ciscu opět problémy (1)

Luboš Klaška Aktuality 21. srpna 2006

Už to tak vypadá, že společnost Cisco bude mít s komunitou kolem konference Black Hat stálé problémy. Jakoby nestačila aféra z minulého ročníku konference, i letos se zde opět objevil problém s odhalením závažné chyby v bezpečnostním produktu společnosti. Tentokrát ale Cisco reaguje mnohem klidněji.

Na konferenci BlackHat USA 2006 v Las Vegas (2.-3. srpna) došlo opět k odhalení závažné chyby v bezpečnostním produktu společnosti Cisco, tentokrát se týká PIX firewallu řady 500. V sekci věnované bezpečnosti VoIP, prezentoval německý vývojář Hendrik Scholz ze společnosti Freenet Cityline na konci své přednášky "SIP Stack Fingerprinting and Stack Difference Attacks" techniku překonání tohoto firewallu. Speciálně upravený paket SIP (Session Initiation Protocol) poslaný na PIX, umožňuje pak útočníkovi otevřít UDP spojení na další zařízení v síti a poslat mu libovolná data. „Můžete tak otevřít kterýkoliv port chcete … a dostat se z vnějšku na jakýkoliv interní server. Je to opravdu snadné a o opravě chyby jednáme s Ciscem,“ alespoň podle vlastních slov Scholze z audio záznamu přednášky, kterou získalo IDG News. Detailnější popis této chyby, nazývané v hantýrce hackerů „0day (zero-day)“, není zatím nikde dostupný. Diapozitiv s odpovídající částí Scholzovy přednášky nebyl začleněn do publikované verze v materiálech konference. Scholz sám chybu odmítl více komentovat s tím, že čeká na vyjádření Cisca.

Session Initiation Protocol (SIP) je jedním z protokolů používaným pro realizaci hlasového přenosu v rámci IP sítě - VoIP. V příslušném RFC3261 je charakterizován jako znakově orientovaný signalizační protokol, sloužící k sestavení, modifikaci a ukončení spojení mezi dvěma a více účastníky. Spojení může představovat obecně jakýkoliv multimediální přenos, v praxi je ale SIP nejčastěji využíván pro telefonování po IP síti. Pěkný tutoriál najdete např. na této adrese.

Společnost Cisco podle prohlášení svého mluvčího John Noha ihned začalo chybu prověřovat, ale až 15. srpna vydala toto Cisco Security Response s názvem „Unconfirmed SIP Inspection Vulnerability“. Jak je jasné již z názvu, i přes rozšířené testování se nepodařilo specialistům Cisca zranitelnost reprodukovat. Protože žádná nová chyba PIXu tedy vlastně neexistuje, není tedy nutné vydávat opravu. Přesto prý dále společnost ve spolupráci s Hendrikem Scholzem pracuje na ověření jeho tvrzení.

Od vydání prohlášení Cisca se celá causa nikam dál neposunula a na veřejnost se nedostaly žádné další informace. Vyšumí-li celá záležitost více-méně do ztracena jako v případě Michaela Lynna, nebo se chyba přeci jen potvrdí, ukáží až další týdny.

Co se stalo před rokem?

Na konferenci BlackHat USA 2005 došlo ke skandálu kolem zveřejnění závažné chyby síťových prvků Cisco podporujících směrovací protokol IPv6. Bezpečnostní expert Michael Lynn ze společnosti ISS totiž tuto chybu předvedl publiku proti vůli jak ISS, tak Cisca. Podrobné informace najdete v těchto dvou našich článcích z minulého roku.

Bezpečnost Cisco IOS a internet (2) - hrozí nám elektronický Pearl Harbor?

Bezpečnost Cisco IOS a internet (1) – situace je vážná, nikoli však zoufalá

V pokračování se podíváme na prezentovaná možná rizika systémů NAC (Network access control).


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.