Cisco y Microsoft han sido los primeros fabricantes en publicar parche para esta sonada vulnerabilidad en el propio protocolo TCP. Fue descubierta por la compañía Outpost24 en octubre de 2008 causando un gran revuelo. Desde entonces poco más se aportó al respecto. En un movimiento coordinado entre Microsoft y Cisco, ambos han publicado parches para su implementación TCP.
La compañía sueca Outpost24 anunció a principios de octubre de 2008 que conocía una vulnerabilidad en el propio protocolo TCP que afectaba (en mayor o menor medida) a todo dispositivo que implementase una pila TCP. Se dio a conocer como Sockstress. Algunos apuntaban que era necesario bombardear de forma continuada y con un cierto tipo de paquetes al servidor. Otros que con sólo unos minutos de tráfico se puede hacer que el sistema quede sin recursos. Según Robert E. Lee de Outpost24, dependía del dispositivo. Lo normal es que permaneciesen caídos mientras durase el ataque (como ocurre con un DDoS, por ejemplo), pero se habían dado casos en que se agotan sus recursos y se necesita un reinicio con una mínima cantidad de tráfico.
Outpost24 decían conocer el problema desde 2005, pero no fue hasta 2008 que se decidió a hacerlo público. Una vez avisados todos los fabricantes, han necesitado un año para publicar un parche que lo soluciona. El CVE de la vulnerabilidad es el CVE-2008-4609. Ni Microsoft ni Cisco han dado demasiados detalles al respecto, y han publicado parches para sus sistemas operativos (Windows y IOS). En el boletín que corrige entre otros, este problema, Microsoft describe el fallo como un error en la forma en que Windows maneja un alto número de conexiones TCP establecidas que podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través del envío masivo de peticiones TCP especialmente manipuladas. Puede incrementarse el alcance si se establece el «window size» de una petición TCP a un valor muy bajo incluso a cero.
En un futuro cercano, veremos a nuevos fabricantes que tendrán que solucionar este mismo fallo.
ssantos@hispasec.com
Más información:
03/10/2008 Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el protocolo base de la Red
http://www.hispasec.com/unaaldia/3632
TCP State Manipulation Denial of Service Vulnerabilities in Multiple Cisco Products
http://www.cisco.com/en/US/products/products_security_advisory09186a0080af511d.shtml
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
http://www.microsoft.com/technet/security/bulletin/ms09-048.mspx
Deja una respuesta