Cisco pris entre le marteau et l'enclume

Par Fabrice Deblock (JDNet) - Une fois de plus, les administrateurs réseaux sont confrontés à une course contre la montre difficile à tenir. A peine le patch résolvant une faille sur des routeurs Cisco a-t-il été publié que des attaques ont été constatées. L'épineux problème de la complexité du traitement des failles et de la réactivité des administrateurs est à nouveau relancé.

La faille en question concerne le logiciel IOS (Internet Operating System), système d'exploitation des routeurs et commutateurs CISCO. Seuls les configurations traitant des paquets de données IPv4 sont concernées. Mais un outil pour exploiter cette faille a rapidement été diffusé sur une liste de discussion, compliquant sensiblement la tâche des administrateurs.

Patch et code d'exploitation publiés à 24 heures d'intervalle - Par le biais de cette faille, des attaques en déni de service sont possibles, causant l'arrêt des machines qui tournent sous IOS. La société ISS X-Force, spécialisée dans la sécurité, déclare en avoir constatées sur le réseau de manière localisée. Cisco, de son côté, affirme ne pas avoir été informé de l'existence d'attaques particulières.

Mais ce qu'il est intéressant de constater dans cette affaire, c'est que le lendemain même de la publication d'un patch par Cisco (publication effectuée le jeudi 17 juillet), le code d'exploitation de cette faille (le code malicieux lui-même) était diffusé sur la liste de discussion du Full Disclosure. Peu après la parution de ce code, les premières attaques étaient enregistrées par ISS X-Force.

Des niveaux d'alerte rehaussés - Dans ces conditions - publications presque simultanées d'un patch et du code pour exploiter la faille - les éditeurs d'anti-virus ont relevé d'un cran leur niveau d'alerte. C'est le cas de Symantec qui, sur une échelle de 1 à 4, à élevé son niveau d'alerte (Security Response ThreatCon) au niveau 3, un niveau déjà atteint par les célébres CodeRed, SQL Slammer (Sapphire) et autres BugbearB. ISS X-Force en a fait de même. "Nous l'avons fait plus en fonction du nombre de routeurs concernés dans le monde que de l'étendue du risque en lui-même", précise Philippe Nault, directeur de l'équipe ingénieurs avant vente chez Symantec.

Chaouki Bekrar, consultant sécurité chez A.D.Consulting et responsable du bugtraq Français (K-OTik) ajoute : "le danger est toujours présent, car de nouveaux outils automatiques et semi-automatiques viennent d'être réalisés par des pirates, mais ils ne sont pas encore publiés. Les routeurs Cisco représentent plus de 80% des routeurs Internet, les prochaines semaines pourraient être douloureuses si les dispositions nécessaires ne sont pas prises rapidement par les responsables informatiques".

Au mois de janvier dernier, le ver Sapphire avait paralysé le Web mondial en exploitant une faille SQL dont le patch était disponible depuis six mois (lire notre article). Cette fois-ci, les administrateurs devront réagir plus vite, mais la tâche n'est pas aisée vu la précipitation des événements...
 

 

 Audits de Sécurité & Tests Intrusifs F-VNS Security™  Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits