Vortrag über Router-Schwachstellen: Frieden mit Cisco und ISS

Michael Lynn, der gestern einen Vortrag über Schwachstellen in Cisco-Routern hielt, und dafür von dem Router-Hersteller und seinem Ex-Arbeitgeber vor Gericht zitiert wurde, hat sich mit Cisco und ISS geeinigt. Demnach darf sich der Sicherheitsexperte nie mehr zu den Details der Sicherheitsprobleme äußern, mit denen sich sein gestriger Vortrag beschäftigt hat. Seine kompletten diesbezüglichen Unterlagen, auch die auf seinen Computern, muss er unter Aufsicht eines Forensik-Experten löschen, nachdem Kopien für seinen früheren Arbeitgeber und den Router-Riesen angefertigt wurden. Auch der Veranstalter der Blackhat-Konferenz wurde verpflichtet, alle Unterlagen zum Vortragsinhalt und eventuelle Videoaufzeichnungen zu vernichten.

Doch der Versuch, die Details zu den aufgezeigten Schwächen in Ciscos Routerbetriebssystem IOS zu vernichten, wird dem Netzwerk-Spezialisten bestenfalls etwas Aufschub bringen. Denn so neu wie zunächst vermutet waren Lynns Ergebnisse keineswegs. Bereits vor Jahren dokumentierte FX von Phenoelit die Tatsache, dass sich Pufferüberläufe auf Cisco-Routern sehr wohl ausnutzen lassen, um eigenen Code einzuschleusen und auszuführen. In einem Phrack-Artikel erläuterte er beispielsweise Details zum Heap-Management und zeigte, wie man durch Überschreiben der Puffergrenzen gefälschte Speicherblocks so anlegen kann, dass bei der Freigabe der Speicherbereiche Zeiger überschrieben werden. Der so genannte Pointer Exchange beim Aufruf von free() ist ein häufig genutzter Angriffspunkt, um Heap-Overflows auszunutzen. Auch die Arbeitsweise und Lücken der IOS-eigenen Speicherüberwachung durch den Systemprozess "Check Heaps", erläuterte FX.

Das Internet Storm Center sieht folgerichtig in Lynns Vortrag eigentlich nur eine gelungene Aufarbeitung bereits bekannter Schwachstellen. Der Ex-ISS-Mitarbeiter hat insbesondere kein neues Sicherheitsloch enthüllt, sondern die Methodik an einem Pufferüberlauf illustriert, für den bereits seit April Patches bereitstehen. Neu war Lynns Demonstration, wie man klassischen Shellcode wie er von Linux- oder Windows-Exploits bekannt ist, einschleusen und sich damit übers Netz Zugang zur Kommandozeile des Routers verschaffen kann. Diese ermöglicht vollständige, interaktive Kontrolle des Routers, lässt sich aber unter Umständen auch automatisiert durch einen Wurm ausnutzen, wie es beispielsweise Sasser mit Windows-Systemen getan hat. Ein Router-Wurm könnte dabei große Teile des Internets lahm legen, warnte Lynn.

Durch seinen Vortrag hat der Sicherheitsexperte jedoch einen Stein ins Rollen gebracht, der sich auch durch das Gerichtsurteil nicht mehr aufhalten lässt. Sicherheitsexperten in aller Welt werden sich nun verstärkt mit Router-Schwachstellen beschäftigen. Und Cisco muss sich beeilen, die offensichtlich vorhandenen Probleme und Lücken bei der Speicherverwaltung in den Griff zu bekommen. Nur so kann noch verhindert werden, dass das "digitale Pearl Harbour" durch einen Router-Wurm, vor dem Lynn mit seinem Vortrag warnen wollte, Realität werden könnte. Immerhin hat der Router-Hersteller bereits ein Security-Advisory für die nächsten Tage angekündigt.

Siehe dazu auch: (ju)

• Blog zum Urteil der Washington Post
• Statement zu dem Vorgang von Cisco
• Burning the bridge: Cisco IOS exploits, Phrack-Artikel von FX
• Once upon a free()... Phrack-Artikel zu Pointer Exchange