CiscoがTCPプロトコルの脆弱性に対処、IOSやLinksys製品に影響 - ITmedia エンタープライズ(情報元のブックマーク数)

IT セキュリティ

CiscoTCPプロトコルDoS脆弱性とのこと、Microsoftのやつと同一日だし、ってことで、Ciscoのページ見ると関連しているとのこと。

Cisco Systemsは9月8日、同社製品のTCPプロトコルにサービス妨害(DoS)の脆弱性が確認されたとして、修正のためのソフトウェアアップデートを公開した。

 Ciscoのアドバイザリーによれば、この脆弱性を悪用すると、攻撃者がTCPの接続状態を操作できるようになる。TCP接続を操作され、無期限にlong-lived状態に置かれてしまった場合、システムのリソースが大量に消費され、新たなTCP接続を受け入れられなくなる恐れがあるという。

 影響を受けるのは、CiscoIOS Software、IOS-XE Software、CatOS Software、Adaptive Security Appliance (ASA) /PIX、NX-OS Software(Cisco Nexus 5000/7000シリーズに搭載)、およびScientific Atlantaの製品と、Linksysの製品。

CiscoがTCPプロトコルの脆弱性に対処、IOSやLinksys製品に影響 - ITmedia エンタープライズ

FINWAIT1がシステムリソースを食うみたい。っておもったら、リンク先はMS09-048 だったので、MicrosoftTCP/IP脆弱性と関連してるみたい。

Cisco PSIRT tested Cisco products that are based on Linux and Microsoft Windows operating systems and found that although TCP connections in a FINWAIT1 state may temporarily consume system resources the operating systems eventually clear the TCP connections. If enough system resources are consumed, a sustained DoS condition may be possible. This outcome is highly dependent on the configuration and usage of a system. For more information about how these vulnerabilities affect Microsoft Windows operating systems, please consult the following Microsoft website at the following link:
http://go.microsoft.com/fwlink/?LinkId=155978

http://www.cisco.com/warp/public/707/cisco-sa-20090908-tcp24.shtml

JPCERT/CCからも情報が出ていますが、Cisco,RedHatも影響を受けるとのことです・・・LinuxBSD系も影響を受けると考えたほうがよさそうですね、アプライアンス製品の対応が怖いなぁ…(Masaさん情報ありがとうございます)

複数のネットワーク機器や OS などは本脆弱性の影響を受けます。既に一部 のベンダ(Cisco 社、Microsoft 社、Redhat 社など)より、本脆弱性に関する 情報が公開されています。また、今後これらの製品以外でも影響を受ける製品 が増えることが予想されます。 詳細に関しましては、以下の文書を参照してください。また、これらの文書 に記載されていない製品やシステムについては、各ベンダにお問い合わせくだ さい。

http://www.jpcert.or.jp/at/2009/at090019.txt

本当にこれは大きすぎる脆弱性ですね・・・本当に。。。

この脆弱性は、9日にマイクロソフトが公開した月例のセキュリティ更新プログラム「MS09-048」と同様のもの。脆弱性が悪用された場合、特別に細工したパケットを受信しただけで、サービス不能状態が引き起こされる可能性がある。
脆弱性Windowsだけでなく、他のOSやネットワーク機器などにも影響があり、CiscoRed Hatなども脆弱性情報を公開している。JPCERT/CCでは、今後もさらに影響を受ける製品が増えることが予想されるとして、各社の脆弱性情報に注意するとともに、提供される修正パッチを適用することを呼びかけている。

TCP/IP関連の脆弱性はWindows以外にも影響、JPCERT/CCが注意喚起 -INTERNET Watch Watch

短時間に同一IPアドレスからの接続要求を拒否するなどの回避策って・・・・製品(というか実装技術)が限定されそう・・・

JPCERT/CCは、この問題を利用した実際の攻撃を確認していないが、すでにサービス不能攻撃を行うツールが公開されているため、特に外部からアクセス可能なシステムについては、早急に更新プログラムを適用するか、ファイアウォールなどのパケットフィルタリング機能により、短時間に同一のIPアドレスから送られる接続要求を拒否するなどの回避策を実施することを推奨している。

複数ベンダのTCPスタックに脆弱性、JPCERT/CC − @IT

詳細が分かりやすい。

The vulnerabilities exist in the implementation of TCP's flow-control mechanism, in particular due to incorrect handling of advertised "zero-windows". Zero-windows may be advertised by a TCP after a connection enters the "ESTABLISHED" state to indicate that it is currently not able to accept any data due to limited buffer-space. Given that pending data exists, which the peer TCP needs to deliver, the peer then starts its persist-timer, which periodically queries the value of the flow-control window by issuing so called zero-window-probes. These probes are TCP segments containing a single byte of payload, which force the receiver to generate an acknowledgment, which in turn allows the peer to receive an update on the current value of the flow-control window. As a side effect, the retransmission-timer is disabled because persist- and retransmission-timer are mutually exclusive. The sending TCP is said to be in persist-state.

In Windows XP and Windows Vista, connections, which are in the state "FIN_WAIT_1" or "FIN_WAIT_2" respectively do not ever terminate if the flow-control mechanism is in "persist-state". This can be demonstrated as followed:

1. The Attacker establishes TCP-connection with the target.

2. The Attacker sends a specially crafted TCP-segment to the target. The segment must fulfill the following criteria:
a) The advertised flow-control window is set to zero.
b) If the layer5-application that is in possession of the socket associated with this connection does not automatically send data to the attacker, the segment needs to cause the application to do so.
c) To increase the attack speed, the segment-data should cause the layer-5 application to terminate the connection as soon as possible. For example, if the layer-5 application is a web-server, a GET-Request, which references a non-existing resource, is a good choice. When targeting the NetBIOS Session Manager (port 139), simply sending an invalid request such as 'abc\n' is sufficient.

3. Since the layer-5 application closes the socket associated with the connection in response to the attacker's request, the connection moves into state "FIN_WAIT_1" and is now handled only by the kernel. In addition, due to the zero-window advertised by the attacker, the flow-control mechanism enters "persist-state" and now sends the remaining data to the application one byte at a time by using zero-window-probes.

4. The attacker acknowledges zero-window probes.

5. Once no more data is left to send, the connection hangs in "FIN_WAIT_1" and is not removed. In case of Windows Vista, the last zero-window-probe sent also contains a FIN-flag, which, when acknowledged, moves the connection into "FIN_WAIT_2", where it hangs.

Microsoft Windows XP/Vista TCP/IP Orphaned Connections Vulnerability

Checkpointにも影響とのこと(当然ですよねぇ)

TCP(Transmission Control Protocol)は、RFC793などで規定されているインターネット通信プロトコル。複数のベンダーのTCPプロトコル処理の実装において、ウインドウサイズを細工したパケットの処理に関する脆弱性が存在する。この脆弱性を利用し、遠隔の第三者DoS攻撃を仕掛けることで、システムを応答不能にされる可能性がある。
JPCERT/CCでは同日時点でこの問題を利用した実際の攻撃を確認してはいないという。ただし、この脆弱性を利用してDoS攻撃を仕掛けるツールが公開されているため、特に外部からアクセス可能なシステムについては、早急に更新プログラムを適用する、もしくは回避策を実施することを推奨している。
また、対策版を適用するまでの間、ホワイトリストによりTCPサービスへのアクセスを制御したり、ひとつのIPアドレスからの接続数を制限したりすることで、この脆弱性の影響を軽減できるとのことだ。

WindowsやCheck Pointなど、TCPのプロトコル処理実装にDoS攻撃を受ける脆弱性 - CNET Japan

通常のLinux版のPoCも出ているそうです。

This third version features: Complete support for i386, x86_64, ppc and ppc64; The
personality trick published by Tavis Ormandy and Julien Tinnes; The TOC
pointer workaround for data items addressing on ppc64 (i.e. functions
on exploit code and libc can be referenced); Improved search and
transition to SELinux types with mmap_zero permission.

http://www.milw0rm.com/exploits/9641

関連URL

screenshot