viernes, 15 de abril de 2005

Múltiples sistemas afectados por denegación de servicio por mensajes ICMP

Se ha publicado un documento que describe como el protocolo ICMP
(Internet Control Message Protocol) puede ser empleado para realizar
ataques de denegación de servicio contra el protocolo TCP. Este
documento se ha distribuido a través de la Internet Engineering Task
Force (IETF), y titulado como "ICMP Attacks Against TCP"
(draft-gont-tcpm-icmp-attacks-03.txt).

Estos ataques, que solo afectan a sesiones que terminan o se originan
en el propio dispositivo y pueden ser de tres tipos:

1. Ataques que usan mensajes ICMP de error fuerte
2. Ataques que usan mensajes ICMP tipo 3 código 4 falsificados
("fragmentación necesaria y sin fragmentar")
3. Ataques que usan mensajes ICMP "Source Quench"

Los ataques exitosos, en función de su tipo, pueden provocar la
pérdida de conexiones o la reducción del rendimiento de las conexiones
existentes.

Se ven afectados un gran número de productos de diversos fabricantes.

Entre otros, Cisco publicó esta semana un aviso en el que informaba
de la forma en que este tipo de ataques afectaba a un gran número
de sus dispositivos.

Se ven afectados todos los productos Cisco que ejecuten cualquier
versión de Cisco IOS y tengan habilitado PMTUD.
Los siguientes dispositivos Cisco IOS o software basedo en Cisco IOS
también son vulnerables:

* Switches Catalyst 4000 y 6000
* Puntos de acceso y bridges Cisco Aironet Wireless LAN
* Catalyst 2900XL, 2900XL-LRE, 3500XL, 2940, 2950, 2950-LRE, 2955 y
2970
* Catalyst 2948G-L3, 3550, 3560, 3750 y 3750-ME
* Communication Media Module (CMM)
* Cisco Optical Network Solutions (ONS)
* Cisco DistributedDirector.

También son vulnerables dispositivos Cisco que no ejecuten IOS como:
* Cisco CRS-1
* Cisco PIX Security Appliance
* Cisco IP Phones
* Cisco Catalyst 6608 Voice Gateway y Cisco 6000 FXS Analog
Interface Module (WS-X6624-FXS)
* Cisco 11000 y 11500 Content Services Switches (CSS).
* Global Site Selector (GSS).
* Cisco ONS products: ONS 15302 and ONS 15305.
* Cisco MDS 9000 Series Multilayer Switches.
* VPN 5000 concentrator.

Cisco ha publicado las actualizaciones necesarias para corregir este
problema.

Según ha confirmado Sun los sistemas Solaris 7, 8, 9 y 10 también se
ven afectados por este tipo de ataques, aunque por el momento no hay
ningún tipo de actualización disponible para evitar el problema.

Los sistemas operativos de Microsoft, (Windows 2000, Windows XP,
Windows Server 2003, Windows 98 y Windows ME) también se ven
afectados. Por ello, dentro de los boletines de seguridad de Microsoft
publicados esta semana, se distribuyo el MS05-019, en el que se informa
sobre este problema y se ofrecen las actualizaciones necesarias para
evitarlos.

Otros sistemas como IBM AIX, los routers Juniper Networks M-series y
T-series o los firewalls Watchward también se ven afectados por esta
vulnerabilidad.


Antonio Ropero
antonior@hispasec.com


Más información:

ICMP attacks against TCP
http://www.ietf.org/internet-drafts/draft-gont-tcpm-icmp-attacks-03.txt

Cisco Security Advisory: Crafted ICMP Messages Can Cause Denial of
Service
http://www.cisco.com/warp/public/707/cisco-sa-20050412-icmp.shtml

NISCC Vulnerability Advisory 532967/NISCC/ICMP
Vulnerability Issues in ICMP packets with TCP payloads
http://www.niscc.gov.uk/niscc/docs/re-20050412-00303.pdf?lang=en

Sun TCP Connections May Experience Performance Degradation If Certain
ICMP Error Messages Are Received
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57746-1

Boletín de seguridad de Microsoft MS05-019
Vulnerabilidades en TCP/IP que podrían permitir la ejecución remota de
código y una denegación de servicio
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-019-IT.mspx

WatchGuard Firebox ICMP Processing Errors Let Remote Users Deny Service
http://securitytracker.com/alerts/2005/Apr/1013698.html