Diversas versiones del IOS de Cisco son vulnerables a un ataque de
denegación de servicio cuando está habilitado el protocolo propietario
EIGRP. Cuando se inunda un router Cisco con anuncios EIGRP falsificados,
el router originará una tormenta ARP contra el segmento de red al tratar
de descubrir la dirección MAC del supuesto nuevo dispositivo. Esto puede
llegar a consumir todo el ancho de banda, provocando la denegación de
servicio en toda la red.
El protocolo EIGRP es utilizado por los routers Cisco para anunciar su
existencia a todos los routers vecinos. Para ello se envía vía
multicast, en el interfaz habilitado para EIGRP, un mensaje de anuncio.
Cuando dos routers se descubren el uno al otro, intentan intercambiar
información sobre la topología de la red. En las redes Ethernet es
preciso que cada router obtengan la dirección MAC de su interlocutor.
Si un atacante envía una gran cantidad de mensajes de anuncio EIGRP, con
direcciones IP aleatorias, todos los routers Cisco que reciban estos
paquetes intentarán contactar con el dispositivo emisor. Debido a la
existencia de un problema en el sistema operativo IOS, cada router
obtiene la dirección MAC del emisor de forma continua hasta que no
expire el periodo de tiempo indicado dentro el mensaje EIGRP. Como este
valor está establecido por el emisor del mensaje, en el caso de un
ataque hemos de considerar que se utilizará el valor máximo de 18 horas.
En el supuesto de que un router reciba diversos mensajes de anuncio
EIGRP con direcciones IP de origen falsas, se utilizará toda la CPU y
ancho de banda del segmento de red para enviar las peticiones ARP,
lo que provoca la denegación del servicio.
Para evitar este tipo de ataques, Cisco recomienda utilizar la
autenticación MD5 en los anuncios EIGRP, de forma que únicamente se
permita la recepción de aquellos dispositivos autorizados.
xavi@hispasec.com
Más información:
Cisco IOS EIGRP Network DoS
http://www.securitybugware.org/Other/5891.html
Cisco IOS EIGRP Denial of Service
http://www.secunia.com/advisories/7766/
Enhanced Interior Gateway Routing Protocol (EIGRP)
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/en_igrp.htm
Ejemplo de configuración de la autenticación MD5 para EIGRP
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18
Deja una respuesta