Se ha descubierto la existencia de una nueva herramienta capaz de
provocar un ataque de denegación de servicios contra los sistemas de
detección intrusos. De forma que estos queden sin efectividad y dejen
expuestos ante cualquier otro ataque el resto de sistemas de la red
corporativa.
El propio NIPC (National Infrastructure Protection Center) norteamericano
se ha hecho eco del problema y alerta a todos los administradores de la
existencia de dicha herramienta. Este nuevo programa, bautizado por sus
creadores como «stick» consigue reducir el rendimiento e incluso llegar
a la denegación del servicio de una gran mayoría de los productos de
detección de intrusos. Stick envía cientos de falsos ataques contra el
sistema, lo que hace que el proceso adicional para manejar la gran
cantidad de alertas llegue a consumir toda la carga del sistema y cause
la denegación del servicio de detección.
Stick no emplea ningún método de ataque novedoso ni deja al descubierto
nuevas vulnerabilidades en los sistemas de detección de intrusos. Stick
emplea una técnica directa de dirigir múltiples ataques aleatorios desde
direcciones IP igualmente aleatorias. Todo ello con el propósito de
activar los eventos del servicio de detección de intrusos. Como en todo
este tipo de ataques, su efectividad y éxito depende en gran medida del
ancho de banda del atacante.
ISS avisa de que las versiones para Windows NT y Windows 2000 de su
producto RealSecure Network Sensor 5.0 son vulnerables ante este
problema, mientras que la versión para Solaris parece quedar a salvo.
La firma ha publicado dos parches que limitan el riesgo del ataque por
Stick.
antonior@hispasec.com
Más información:
Aviso de ISS:
http://xforce.iss.net/alerts/advise74.php
Aviso del NIPC:
http://www.nipc.gov/warnings/assessments/2001/01-004.htm
