9го сентября в ЖЖ специалистом в области безопасности Андреем Владимировым (ака dr_nicodimus), известным как соавтор книги «Wi-Foo: The Secrets of Wireless Hacking», была опубликована информация об окончании «мозгового штурма», направленного на эксплуатацию уязвимостей в программном обеспечении продуктов компании Cisco.
В результате исследования были разработаны методы внедрения кода в Cisco IOS и методы написания exploit и shellcode для этой платформы. Разработаны механизмы реализации кроссплатформенного червя для IOS. Обнаружено большое количество уязвимостей в «фирменном» протоколе маршрутизации EIGRP. Для демонстрации была проведена атака с одной Cisco на другую, в результате которой на атакуемой машине был запущен сервер IRC.
Таким образом, можно констатировать, что показательное избиение «железных» маршрутизаторов Cisco возможно состоялось и это в очередной раз показывает опасность чрезмерного использования security trough obscurity.
Остается надеяться, что Cisco учитывая опыт Microsoft, гораздо быстрее издаст «Пишем безопасный код», отучит по ней население Индии и выпустит Cisco IOS SP2.
