Un participante de la feria Black Hat de Las Vegas ha encontrado una vulnerabilidad en el protocolo Open Shortest Path First (OSPF). Dicha vulnerabilidad permitiría a un atacante modificar la tabla de enrutamiento de los routers a su antojo, con lo que podría desviar todo el tráfico o incluso crear bucles para dejar los sistemas incomunicados.
El ataque, diseñado por Gabi Nakibly, se ha realizado con éxito contra un router Cisco 7200, aunque cualquier router compatible con el protocolo OSPF es vulnerable, pero se eligió un router de esta marca para subrayar la importancia del problema dada su posición en el mercado.
El protocolo OSPF es, probablemente, el protocolo más utilizado en las grandes redes. Los routers utilizan este protocolo para calcular la ruta más corta y rápida para conectar dos redes.
Lo más grave es que Internet se divide en 35.000 grandes redes (sistemas autónomos) y la mayoría utilizan este protocolo para conectarse entre sí. De ahí la gravedad de la vulnerabilidad.
Cabe destacar que para hacer uso de esta vulnerabilidad un atacante tendría que conectar un router “fantasma” al router que deseara atacar y, además, conocer la contraseña utilizada para el cifrado de los mensajes OSPF, por lo que hace pensar que la explotación del fallo no es trivial.
Via | NetworkWorld
Foto cabecera | Leonardo Rizzi
Comentarios
interesante
Estas son los post que mas me gusta leer, Xataka on lo mejor en el tema!
Como se nota que no teneis ni puta idea de OSPF, si se comunican los routers por redes ethernet no punto a punto hablarán multicast y cualquier router o software que sepa hablar ospf y tenga la clave podrá anunciar sus rutas.
Eso pasa con IS-IS, EIGRP y RIP, con BGP especificas el vecino por unicast pero nadie te impide suplantarlo. Realmente no hay ningún bug no hay que hablar ospf con cualquiera (ya que se puede limitar con passive-interface default) y con access-list tambien y ya está esta noticia es vapor-ware igual que la que han publicado en banda-ancha punto eu
saludos!
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect