Bezárják a gyártók a TCP-n tátongó sebezhetőséget
Láthatóan a Microsoft szeptemberi patch keddjével egy időben indult meg annak a TCP-ben tavaly felfedezett támadási lehetőségnek a bezárása, amely a protokoll működési mechanizmusára épített. A Microsoft mellett más gyártók, többek közt a Cisco és a CheckPoint is adott ki frissítést, míg mások még dolgoznak a problémán.
Tavaly októberben reppent fel a hír, hogy a svéd Outpost24 két biztonsági szakembere támadási lehetőséget fedezett fel a TCP-ben, és állításuk szerint egyetlen TCP/IP implementációval sem találkoztak, mely immúnis volna a szolgáltatásmegtagadásos sebezhetőségre. A kérdés súlyosságát valószínűleg egyetlen informatikával foglalkozónak sem szükséges magyarázni: bárkit bármikor sikeresen lehet támadni, akit hálózaton keresztül el lehet érni.
Éppen emiatt az IT-gyártók és a biztonsági szakma nem volt nyitott arra, hogy a nyilvánosság előtt részletezzék a problémát, hiszen azzal a bűnözők kezébe adtak volna egy olyan eszközt, mellyel szemben gyakorlatilag mindenki védtelen. Ezzel együtt természetesen kiszivárogtak félinformációk, és már akkor tudni lehetett, hogy a támadás arra épül, hogy rábírja a megtámadott rendszert, hogy soha nem dobja el a tömegével szándékosan felépített TCP-kapcsolatokat, így egy idő után elfogynak az erőforrásai, és vagy összeomlik, vagy elérhetetlenné válik - ezzel megvalósul a DoS szituáció.
A gyártók azonban továbbra sem beszélnek arról, hogy pontosan milyen technikákat azonosítottak, mindössze annyit közölnek, hogy szabványos TCP-kapcsolatok épülnek fel a támadó és a célgép közt, ugyanakkor a támadó nulla méretű csomagokkal bombázza. Egyes korábbi spekulációk szerint a DoS-támadások arra épülnek, hogy elhitetik a célponttal, hogy folyamatosan lassul a két gép közti kapcsolat, így elnyúlnak a várakozási idők, valamint rábírja a célgépet, hogy folyamatosan próbálkozzon a kapcsolatteremtéssel, és készen álljon a fogadásra. Ez vezet ahhoz, hogy rendkívül hosszasan el lehet nyújtani egy-egy kapcsolat életét, miközben ezrével nyílnak a további hasonlóak.
Microsoft, Cisco
A probléma kaliberét jellemzi, hogy a gyártók láthatóan hosszasan tanulmányozták a problémát, közös teszteszközzel értékelték ki termékeiket, majd ennek eredményei alapján most összehangoltan cselekszenek, hogy bezárják a réseket. A Microsoft szeptemberi patch keddjén kiadott egyik frissítéssel megérkezett a Windows operációs rendszerekhez a foltozás, ezzel pedig megindultak a többiek is. A Microsoft MS09-048 jelölésű biztonsági közlönye szerint azonban a Vista és Server 2008 operációs rendszereken nem csak DoS-támadást lehet megvalósítani a TCP/IP rétegen keresztül, hanem távoli kód végrehajtását is a TCP/IP csomagok időbélyegeinek manipulálásával. Ez azonban már implementáció-specifikus, és valószínűleg nem is az eredeti sebezhetőséget takarja, hanem a vizsgálatok során fedezhette fel a Microsoft.
A Microsoft mellett a legfontosabb volt a Cisco reagálása, mivel a TCP sebezhetősége nem csak számítógéprendszereket, hanem a hálózati eszközöket érinti. A Cisco vizsgálata alapján ráadásul nem csak a megtámadott berendezéseket, hanem azokat is, melyeken áthalad a támadás, és megtartják a TCP csomagok állapotát - ezek erőforrásai ugyanúgy elfogyhatnak. Az összes IOS és IOS-XE, valamint CatOS és NX-OS operációs rendszert futtató eszköz érintett, míg az ASA és PIX szoftverek egyes verziói - lényegében a Cisco kínálatának színe-java. Cisco routerek és switchek gyakorlatilag mindenhol vannak, hiszen piacrészesedésük kétharmad körüli. A vállalat szabadon elérhető frissítést tett közzé.
Nem mindenki rezelt be
Talán a leghűvösebben a Juniper Networks, a Cisco talán legnagyobb kihívója reagált, közölte, hogy a felfedezett probléma nem különbözik a többi TCP-alapú DoS-támadás természetétől, és a megfelelő hálózatbiztonsági gyakorlat elegendő a védelemhez. A Juniper hozzáteszi, hogy tesztjeik alapján a Juniper eszközök esetleges sikeres támadások befejeztét követően is magukhoz térnek, nem szükséges újraindítás. A Juniper állásfoglalása a finn CERT (Computer Emergency Response Team) oldalán olvasható, a cég biztonsági tanácsaihoz csak partnerei és ügyfelei férhetnek hozzá.
Nem adott ki frissítést szerver operációs rendszeréhez a Red Hat sem, ezzel szemben kerülő megoldásokat javasol a biztonsági kockázatra, mint például olyan iptables szabályok felállítását, melyekkel megakadályozható a rendszerek TCP-kapcsolatokkal történő elárasztása. A Sun pedig még dolgozik a problémán. A Sun átmeneti megoldásként, míg a teljes javítás el nem készül, szintén azt javasolja, hogy a hálózati forgalom elemzésével a támadások forrását szűrjük ki.