Vulnérabilité "ICMP Redirect"
Date : 23 Juin 2005
Cisco a publié ce mois-ci une note d'information pour signaler que dans certaines configurations très spécifiques, le système d'exploitation IOS était vulnérable à des attaques de type "ICMP redirect".
Le Cert-IST a jugé que ce type de configuration était trop exotique pour donner lieu à un avis. Nous détaillons cependant le problème au travers du présent article.
La vulnérabilité "ICMP redirect"
Les paquets ICMP de type "Redirect" ont été conçus pour informer des équipements réseaux qu'ils doivent changer leurs tables de routage IP pour prendre en compte une modification de la topologie réseau (par exemple la perte d'une route suite à un incident réseau).
Ce mécanisme de re-définition des routes n'est pas sûr, car il n'existe aucune séquence d'authentification permettant de vérifier que l'émetteur de la requête "ICMP redirect" est légitime. Ainsi, un pirate envoyant des paquets "ICMP redirect" peut demander à un équipement réseau que tous les paquets émis lui soient transmis (il se fait passer pour le routeur par défaut). Ce détournement des communications confère alors au pirate la position de "man in the middle", qui lui permet ensuite trivialement d'écouter ou de modifier les données échangées.
Du fait de son manque intrinsèque de sûreté il est notoirement recommandé qu'un équipement réseau soit configuré pour ne pas prendre en compte les requêtes "ICMP redirect" (sinon, il s'expose à l'attaque décrite ci-dessus).
Les équipements CISCO impactés
Cisco signale que dans le cas particulier où un routeur CISCO a été configuré pour ne pas faire de routage IP (ce qui n'est pas la configuration par défaut), l'IOS accepte les requêtes "ICMP redirect" et met à jour en conséquence ses tables de routage. Il est donc alors vulnérable à l'attaque précédemment décrite.
Ce type de configuration (cas où la fonction de routage a été désactivée) nous paraît très exotique. A notre connaissance elle n'a de sens que si le routeur est utilisé comme un adaptateur pour interconnecter des couches niveau 2 différentes (cas, par exemple, d'un pont ATM vers Ethernet). Nous n'avons donc pas émis d'avis sur ce problème. Il est a noter aussi, que CISCO n'a pas pour ce problème émis d'avis de sécurité (un "Security Advisory"), mais simplement une note d'information (une "Field Notice").
Pour les configurations qui seraient impactées, CISCO recommande :
- soit de faire une mise à jour de l'IOS (voir l'avis de CISCO pour connaître les variantes des versions 12.2 qui corrigent le problème)
- soit d'ajouter explicitement une directive "no ip icmp redirect" à la configuration.
Pour plus d'information :
CISCO Field Notice "IOS Accepts ICMP Redirects in Non-default Configuration Settings" : http://online.securityfocus.com/archive/1/311336