Cisco IOS Exploitation Technique and Defense In Depth

– Date : 07 Janvier 2009

– Plateforme : Cisco

– Description :

Une nouvelle technique d’attaque à l’encontre des routeurs Cisco vient d’être présentée à la conférence Chaos Communication Congress (CCC) par Felix Lindner (FX) de la société Phenoelit.

Ce chercheur aurait trouvé un moyen de compromettre certains routeurs Cisco.

Pour cela, ce dernier a utilisé le "Cisco boot loader (ROMMON)" et un outil nommé CIR (Cisco Incident Response).

Sa méthode d’exploitation ne permettrait pas de prendre le contrôle de tous les routeurs, mais pour le moment uniquement les routeurs 1700 et 2600 (avec processeur PowerPC). En effet, il existe différentes images IOS, avec des adresses de retour différentes, ce qui ne permet pas de globaliser l’attaque sans spécifiquement attaquer un modèle précis.

Avec ces premières informations, ce chercheur a trouvé une piste qui sera sans doute approfondie dans les mois à venir.

– Référence :

http://www.phenoelit-us.org/stuff/FX_Phenoelit_25c3_Cisco_IOS.pdf

http://www.theregister.co.uk/2009/01/05/cisco_router_hijacking/

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1231320753