Risque
- Déni de service
Systèmes affectés
- et le DistributedDirector.
- les Catalyst 6000 ;
- les commutateurs de LAN Catalyst 2900XL ;
- les commutateurs de LAN des séries 1900, 2800, 2900, 3000, et 5000 ;
- les plus récentes versions de commutateurs ATM LS1010 ;
- Les routeurs CISCO des séries AGS/MGS/CGS/AGS+, IGS, RSM, 800, ubr900, 1000, 1400, 1500, 1600, 1700, 2500, 2600, 3000, 3600, 3800, 4000, 4500, 4700, AS5200, AS5300, AS5800, 6400, 7000, 7200, ubr7200, 7500, et 12000 ;
Résumé
Il est possible de corrompre les tables ARP de ces appareils avec des informations éronnées.
Description
Un paquet ARP destiné à une interface du routeur et contenant, pour l'adresse IP du routeur, une adresse MAC différente de la sienne, est censé être refusé. Mais au bout de plusieurs tentatives, pour éviter une « tempête », le routeur finira par accepter de remplacer sa propre adresse MAC par la nouvelle, rendant ainsi son interface inaccessible.
Contournement provisoire
Coder en dur l'adresse MAC de l'interface à protéger avec la commande suivante :
-
Sous IOS :
arp <adresse IP de l'interface> <adresse MAC de l'interface> <type>
-
sous CatOS :
set arp [dynamic|permanent|static] <adresse IP de l'interface> <adresse MAC de l'interface>
Cette commande n'est pas rémanente. Il faut la retaper après chaque redémarrage du routeur.
Solution
Selon les versions du système d'exploitation du routeur ou du commutateur, appliquer le correctif de CISCO ou mettre à jour la version du système comme indiqué dans le bulletin de sécurité de CISCO.
Documentation
- Bulletin de sécurité CISCO : http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml