Menü
Security

25C3: Zuverlässige Exploits für Cisco-Router

vorlesen Drucken Kommentare lesen 30 Beiträge

In seinem 25c3-Vortrag Cisco IOS attack and defense präsentierte Felix "FX" Lindner von Phenoelit erstmals öffentlich eine Technik, mit der sich Pufferüberläufe auf Cisco-Routern verlässlich ausnutzen lassen.

Das Problem bei Angriffen auf Cisco Router ist, dass die eingesetzten System-Images so unterschiedlich sind, dass nahezu jedes Gerät ein Einzelstück darstellt. Das bedeutet, dass eingeschleuster Code immer an verschiedenen Adressen liegt und deshalb die bislang veröffentlichten Cisco-Exploits eigentlich nur auf dem jeweiligen Demo-System, nicht aber auf realen Systemen in freier Wildbahn funktionieren.

FX skizzierte jedoch in seinem Vortrag eine Exploit-Technik, die Code-Fragmente aus dem sogenannten ROMMON nutzt. Das lädt als Bootloader beim Systemstart das Cisco-Betriebssystem IOS und liegt immer am unteren Anfang des Speichers auf konstanten Adressen. Außerdem gibt es nur sehr wenige unterschiedliche ROMMON-Versionen.

Im Anschluss demonstrierte FX, wie er mit einem einzigen Ping-Paket eine bekannte Schwachstelle ausnutzen konnte, um den Cisco Router Text ausgeben zu lassen. Wie er anschließend ausführte, ist diese Technik durchaus geeignet auch komplexeren Code einzuschleusen, wie er für einen Angriff nötig wäre.

Seine diesbzüglichen Forschungen motivierte FX mit der Notwendigkeit, eine Vorstellung davon zu haben, wonach die von ihm entwickelten Forensik- und Analysewerkzeuge suchen müssen, um eingeschleusten Schadcode zu entdecken. Weil Router sehr lohnende Ziele sind, sei damit zu rechnen, dass sie zum Ziel von Angriffen durch organisierte Kriminelle und Geheimdienste werden, die derartige Techniken durchaus schon im Repertoire haben könnten.

Zum 25C3 siehe auch:

(ju)