- Door
- Jeroen Mulder
- geplaatst op
- 5 augustus 2014 08:01 uur
Hosters en datacenters die gebruikmaken van Cisco-netwerkapparatuur, doen er verstandig aan om de site van de leverancier even te bekijken. Cisco maakte net voor het weekend bekend dat diverse systemen mogelijk kwetsbaar zijn voor misbruik van het protocol waarmee de apparaten de routing bepalen. Hackers zouden het ‘lek’ kunnen gebruiken om routing tabellen over te nemen via OSPF.
OSPF staat voor Open Shortest Path First en is een routing protocol dat wordt gebruikt om de kortste route binnen een AS te bepalen. OSPF wordt daarbij gevoed door Link State Advertisement (LSA), de database die deze routes kent. OSPF wordt vooral toegepast in grote netwerken, waarbij het informatie uit diverse routers verzamelt en opslaat in een database. Op basis van deze gegevens ontstaat een netwerktopologie waarmee routers snel IP-verkeer op de meest efficiënte wijze kunnen routeren binnen die netwerken.
Cisco maakte donderdag al bekend dat OSPF mogelijk een lek kent waarmee iemand het gehele systeem kan overnemen en daarmee ook het verkeer tussen systemen. Een hacker zou zogeheten OSPF LSA type 1 packets naar diverse apparaten in het netwerk kunnen sturen, bijvoorbeeld informatie met valse routeringen. Op deze manier is het mogelijk om een DDoS-aanval op te zetten. Klinkt simpel, maar dat is het niet. Cisco verzekert dat een hacker eerst een aantal gegevens moet verzamelen voordat hij een succesvolle aanval kan opzetten, zoals het IP-adres van de router die aangevallen wordt en het router-ID van de OSPF-hostmachine.
Cisco heeft updates en patches voor apparatuur die gevoelig is voor de kwetsbaarheid. De lijst met devices is overigens veelomvattend: vrijwel alle versies van Cisco IOS, IOS-XE en NX-OS zijn kwetsbaar. Maar ook zeer populaire machines en appliances als Cisco ASA en Pix Firewalls staan op de lijst.
