viernes, 16 de noviembre de 2001

Vulnerabilidad de sobrescritura de la tabla ARP en Cisco IOS

Es posible enviar un paquete ARP (Address Resolution Protocol) sobre un
interfaz local como ethernet, cable, tokenring o fddi que provoque que
un router o un switch con versiones específicas de Cisco IOS o CatOS
detenga el envío y recepción de paquetes ARP en el interfaz
local.
Este problema provocará en un periodo corto de tiempo que el router y
los hosts locales sean incapaces de enviarse paquetes entre sí. Los
paquetes ARP recibidos por el router para el propio interfaz del router
pero con diferente dirección MAC(Media Access Control) sobreescribirán
la dirección MAC del router en la tabla ARP con la recibida en el paquete
ARP.

Este ataque sólo se puede llevar a cabo con éxito contra dispositivos
situados en el segmento local. Si se llega a realizar este ataque con
éxito el atacante conseguirá una denegación de servicio sobre el
dispositivo afectado, ya que el router dejará de rutar los paquetes de
forma correcta.

Debido al gran número de versiones de Cisco IOS que se ven afectadas y
la diversidad de actualizaciones se recomienda consultar la tabla
existente en
http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml
O acudir al distribuidor habitual para obtener la actualización
correspondiente.



Antonio Ropero
antonior@hispasec.com


Más información:

Cisco IOS ARP Table Overwrite Vulnerability
http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml