Cisco og andre udbydere er sårbare overfor TCP DoS sårbarheder

IT sikkerheds information:

• Sårbarheder påvirker:
  Mange af Cisco’s produkter inklusiv de der kører IOS og CatOS.
  Påvirker desuden også CheckPoint enheder og Red Hat Linux 
• Hvordan udnyttes sårbarhederne:
  Ved at oversvømme en enhed med overdreven specialdesignede TCP forbindelser
• Udfald:
  En hacker kan forhindre enheder I at  åbne en ny TCP forbindelse, hvilket kan resultere I at stort set al netværkstrafik blokeres.
• Hvad skal man gøre:
  Download og installer den pågældende udbyders opdateringer, snarest muligt.

Uddybning:

CERTs alert liste opremser et antal udbydere, som har sårbarheder overfor Sockstressangreb I en eller anden udstrækning.
Nedenfor findes en liste over udbydere og deres advarsler: 

• Cisco 
• Microsoft 
• CheckPoint [ Alert 1 / Alert 2 ] 
• Red Hat

Bruger man en af disse udbydere, så check deres individuelle varsler omkring emnet og brug deres patches for at fixe sårbarhederne. Umiddelbart er truslen størst for Cisco enheder. Risikoen er ikke udtalt på klientniveau, men en høj risiko på gatewayenheder såsom Cisco routere.

Man har I over et år kendt til problemet. To forskere fra Outpost24 opdagede sårbarhederne I TCP protokollen, som kunne resultere I at virksomheder kunne udsættes for angreb der crashede eller opbremsede internetforbindelserne.

Meningen var egentlig at det finske CERT (Computer Emergency Response Team ) skulle koordinere og udsende en varsling, men bl.a. på grund af at man ville give udbyderne en chance for at rette fejlen og fordi den ene af forskerne desværre afgik ved døden i en brandulykke, blev forløbet  forsinket i over et år.

Sårbarhederne blev opdaget ved brug af en speciel TCP socket stressing struktur kaldet Sockstress. Sockstress er et værktøj som tillader angribere at åbne et vilkårligt antal TCP forbindelser med special designede payloads, windows størrelser og TCP tilstande. Ved at oversvømme enheder med store mængder special designede TCP forbindelser, blev det konstateret at man kunne forårsage DoS tilstande på visse netværksenheder. DoS resultaterne rangerede fra midlertidige blokering af TCP trafik på en enhed, til komplet låsning der krævede reboot.

Har du spørgsmål er du velkommen til at kontakte C-cure på tlf. 45411446 eller mail