Obrir sessió
logo

DEFENSA DAVANT DE LES CIBERAMENACES

barra-separadora

Soporte de vulnerabilidades

Servicio de soporte de vulnerabilidadesAnálisis, notificación y seguimiento de aquellas vulnerabilidades más críticas, que impactan especialmente en las tecnologías empleadas en el sector público. El CCN-CERT trabajará en la recopilación y clasificación de las nuevas vulnerabilidades, realizando un análisis teórico y en laboratorio, cuando sea posible, de aquellas que por su criticidad lo requieran.

Se generarán documentos informativos o “abstracts” de dichas vulnerabilidades y se llevará a cabo un seguimiento de la evolución de la vulnerabilidad en Internet, alertando a los organismos ante cambios en la criticidad, aparición de parches, nuevas recomendaciones, constancia de explotaciones activas, etc.

Para inscribirse en este servicio o recibir más información, escribir al correo electrónico: soporte_acreditacion@ccn.cni.es

Abstracts:


Boletines de Vulnerabilidades


Denegación de servicio en DHCP de Cisco IOS

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricant afectat Networking
Software afectado Cisco 7200, 7300, 7500
Cisco 2650, 2651, 2650XM, 2651XM Multiservice
Cisco ONS15530, ONS15540
Cisco Catalyst 4000, Sup2plus, Sup3, Sup4 & Sup5
Cisco Catalyst 4500, Sup2Plus TS
Cisco Catalyst 4948, 2970, 3560, & 3750
Cisco Catalyst 6000, Sup2/MSFC2 & Sup720/MSFC3
Cisco 7600 Sup2/MSFC2 & Sup720/MSFC3

Descripción

Algunos dispositivos Cisco, con versiones de Cisco IOS del la rama 12.2S y el servidor Dynamic Host Configuration Protocol (DHCP) o agente relay activado, aunque no esten configurados, son vulnerables a una denegación de servicio, ya que la cola de entrada se bloquea si recibe un paquete DHCP manipulado.

Solución

Workaround:
Existen cuatro posibles medidas dada la vulnerabilidad:
*Deshabilitar el servicio dhcp.
*Control Plane Policing
*Dos versiones de listas de acceso.

La eficacia de cualquiera de estas soluciones depende de la situación de cada cliente como pueden ser el tipo de productos, la topología, el comportamiento de tráfico y la organización. Debido a la variedad de los productos y distribuciones afectadas, los clientes deberían consultar con su proveedor para asegurar que la medida tomada es la más apropiada para la red donde se va a implantar.

Deshabilitar el servicio de DHCP:

La vulnerabilidad se puede evitar mediante el siguiente comando:

no service dhcp

No obstante esta medida desactivará el procesado de DHCP en el dispositivo, incluyendo la funcionalidad de DHCP helper que puede ser necesaria en algunas configuraciones.

Control Plane Policing

The Control Plane Policy se puede utilizar para mitigar la vulnerabilidad tal y como se muestra a continuación:

access-list 140 deny udp host 192.168.13.1 any eq bootps
access-list 140 deny udp any host 192.168.13.1 eq bootps
access-list 140 deny udp any host 255.255.255.255 eq bootps
access-list 140 permit udp any any eq bootps

class-map match-all bootps-class
match access-group 140

policy-map control-plane-policy
class bootps-class

police 8000 1500 1500 conform-action drop exceed-action drop

control-plane
service-policy input control-plane-policy

En este ejemplo 192.168.13.1 es un servidor DHCP legítimo.

Para mas información en la configuración y uso de la opción CPP:

http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1838/products_feature_guide09186a00801afad4.html.

Esta medida es solo aplicable a Cisco IOS 12.2S, ya que esta opción esta solo disponible en versiones 12.2S y 12.3T. Cisco IOS 12.3T no se ha visto afectada por este aviso.

Access Lists - Dos métodos:

Las Access lists se pueden aplicar para bloquear el tráfico DHCP/BootP con destino a cualquier dirección del router, como se muestra en el siguiente ejemplo:

En este ejemplo, la dirección IP 192.168.13.1 representa un servidor DHCP legítimo, las direcciones 10.89.236.147 y 192.168.13.2 representan direcciones de las interfaces del router y 192.168.61.1 representa la interfaz de loopback del router. En el ejemplo cualquier paquete del tipo bootp/dhcp con destino al router será bloqueado:
In this example, any bootp/dhcp packets destined to the router interface addresses are blocked.

access-list 100 remark permit bootps from the DHCP server
access-list 100 permit udp host 192.168.13.1 any eq bootps
access-list 100 remark deny bootps from any to router f1/0
access-list 100 deny udp any host 10.89.236.147 eq bootps
access-list 100 remark deny bootps from any to router f0/0
access-list 100 deny udp any host 192.168.13.2 eq bootps
access-list 100 remark deny bootps from any to router loopback1
access-list 100 deny udp any host 192.168.61.1 eq bootps
access-list 100 remark permit all other traffic
access-list 100 permit ip any any

access-list 100 se aplica alas interfaces f0/0 y f1/0.

interface FastEthernet0/0
ip address 192.168.13.2 255.255.255.0
ip access-group 100 in
interface FastEthernet1/0
ip address 10.89.236.147 255.255.255.240
ip access-group 100 in
ip helper-address 192.168.13.1

Configuración alternativa para las reglas de las interfaces:

Este ejemplo también se debe aplicar a todas las interfaces, pero no es necesario denegar los paquetes hacia todas las IPs configuradas en el router.En este ejemplo la dirección 192.168.13.1 representa un servidor DHCP legítimo.


access-list 100 permit udp host 192.168.13.1 any eq bootps
access-list 100 permit udp any host 192.168.13.1 eq bootps
access-list 100 permit udp any host 255.255.255.255 eq bootps
access-list 100 deny udp any any eq bootps

interface FastEthernet0/0
ip address 192.168.13.2 255.255.255.0
ip access-group 100 in
interface FastEthernet1/0
ip address 10.89.236.147 255.255.255.240
ip access-group 100 in
ip helper-address 192.168.13.1

Nota: Estas medidas no pueden prevenir paquetes IP falseados con la IP de origen igual a la del servidor DHCP.

Actualización de software
Cisco
http://www.cisco.com/tacpage/sw-center/sw-ios.shtml.

Cisco 12.2(18)EW
Instalar la versión rebuild 12.2(18)EW2

Cisco 12.2(18)EWA
Instalar la versión maintenance 12.2(20)EWA

Cisco 12.2(18)S
Instalar la versión rebuild 12.2(18)S6/12.2(20)S4/12.2(22)S2 o la version maintenance 12.2(25)S

Cisco 12.2(18)SE
Instalar la versión rebuild 12.2(20)SE3

Cisco 12.2(18)SV
Instalar la versión maintenance 12.2(24)SV

Cisco 12.2(18)SW
Instalar la versión maintenance 12.2(25)SW

Cisco 12.2(20)EW
Migrar a 12.2(20)EWA

Identificadores estándar

Propiedad Valor
CVE NULL
BID NULL

Recursos adicionales

Cisco Security Advisory (63312)
http://www.cisco.com/warp/public/707/cisco-sa-20041110-dhcp.shtml

Histórico de versiones

Versión Comentario Data
1.0 Avido emitido 2004-11-11
1.1 Aviso actualizado por CISCO (63312) 2004-11-12
1.2 Aviso actualizado por CISCO (63312) 2004-12-07
Tornar

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración