Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Vulnérabilité des bases de données de routage inter-réseaux

Date :12 Juillet 2005

Publication: Article

Pour communiquer entre eux, les réseaux ont besoin de s’échanger des informations de routage (en utilisant un protocole de type EGP –Exterior Gateway Protocols-, tel que BGP).

Pour faciliter les échanges de ces informations de routage, les bases de données RIPE, APNIC ou RADB publient les politiques de routage de chacun des réseaux enregistrés sur Internet.

Un article récent (décembre 2000) publié dans la Mailing-List " Buqtraq " a révélé qu’il était possible de corrompre les informations de routage publiées dans ces bases de données et donc d’altérer le routage inter-réseau.

 

Détail de la vulnérabilité

Chaque réseau est responsable de la mise à jour des informations de routage le concernant et dispose pour ce faire de 4 méthodes pour procéder à une mise à jour des informations publiées dans ces bases de données (les méthodes " NONE ", " MAIL-FROM ", " CRYPT-PW ", et " PGP ", qui sont décrites dans l'article Bugtraq mentionné à la fin de cet article). Dans le cas de la méthode " CRYPT-PW " l’authenticité de la demande de mise à jour est vérifiée au moyen d’un mot de passe.

La vulnérabilité qui a été mise en évidence concerne cette méthode " CRYPT-PW ". En effet, il se trouve que parmi toutes les informations publiées par RIPE, APNIC ou RADB, il existe une description de la personne habilitée à effectuer les mises à jour, et que cette description contient le mot de passe de cette personne sous forme chiffrée DES.

Cette information est publique. Il est donc possible :

  • de parcourir les bases RIPE, APNIC ou RADB pour collecter les mots de passes chiffrés de tous les mainteneurs d’information de routage utilisant la méthode de mise à jour " CRYPT-PW ".
  • puis de tenter de " cracker " ces mots de passe. Si les mots de passe utilisés sont simples, il est très probable que ces mots de passe seront découverts.
  • et enfin d’utiliser les mots de passe découverts pour modifier les informations de routage publiées.

Si vous souhaitez vérifier la méthode de mise à jour pour votre réseau (cet exemple suppose que vous êtes enregistré dans la base RIPE) :

  • utilisez http://www.ripe.net/cgi-bin/whois pour consulter les informations concernant vos adresses IP.
  • dans la rubrique " route ", cliquez sur le champ " mnt-by " pour obtenir la description du " mainteneur " des informations de routage.

Si dans cette description vous observez pour le champ " auth " une description du type  " auth: CRYPT-PW b21ZAvVc/YfCM " :

  • la méthode de mise à jour est " CRYPT-PW "
  • le mot de passe chiffré est " b21ZAvVc/YfCM "

 

Implications de la vulnérabilité

La vulnérabilité exposée est réelle, mais la mise en œuvre d’une attaque sur cette base reste aujourd’hui théorique. L’impact de ce type d’attaque pourrait être par exemple :

  • d’isoler un site ou de détériorer les flux inter-sites,
  • de tenter de rediriger le trafic pour le faire passer par un réseau non sûr.

Comme toute vulnérabilité " théorique ", elle n’attend bien sûr qu’une démonstration en vraie grandeur pour devenir un problème urgent … Sachant que la suppression du mot de passe chiffré du champ " auth : " nécessite un accord global de " la communauté Internet ", on peut raisonnablement penser que cette vulnérabilité persistera encore quelques temps.

En attendant cette modification, il est recommandé :

  • au minimum d’utiliser un bon mot de passe (de façon que celui-ci soit difficile à " cracker "),
  • ou mieux, d’abandonner la méthode " CRYPT-PW " au profit d’une méthode plus sûre (par exemple " PGP ").

 

Pour plus d’information

Article BugTraq : " RIPE, APNIC, RADB update insecurities"

http://www.securityfocus.com/archive/1/149490

Document RIPE : "RIPE-181: Representation of IP Routing Policies in a Routing Registry"

Ce document a également été publié sous forme de la RFC1786.

ftp://ftp.ripe.net/ripe/docs/ripe-181.txt