Cisco lukker af for DoS-sårbarhed i TCP-protokol

Cisco har udsendt en sikkerhedsopdatering til en række routere for at lukke af for en sårbarhed i TCP-protokollen, der kunne udnyttes til Denial-of-Service-angreb.

Sårbarheden gør det muligt tvinge en åben TCP-forbindelse ind i en tilstand, FINWAIT1, hvor den aldrig opnår time out.

Hullet i TCP-protokollen blev fundet allerede i oktober sidste år og gør alle systemer, der indeholder en implementering af TCP-protokollen, potentielt sårbare. Sårbarheden og proof-of-concept-værktøjet til at teste for den, Sockstress, blev fundet og offentliggjort af sikkerhedsfirmaet Outpost24.

Det betyder, at TCP-forbindelsen vil hænge fast i den åbne tilstand, og hvis den angribende part kan gennemføre tricket på tilstrækkeligt mange af serverens forbindelser, er der i praksis tale om et Denial-of-Service-angreb.

Serveren vil dermed ikke være i stand til at oprette flere TCP-forbindelser til nye forespørgsler.

Ifølge Ciscos egen informationsside er alle versioner af routerstyresystemet IOS sårbare. For at udnytte sårbarheden skal angriberen kunne gennemføre et trevejs TCP handshake efter metoden SYN, SYN-ACK, ACK med det sårbare system. I visse tilfælde vil det være nødvendigt at genstarte systemet for at vende tilbage til det normale udgangspunkt, før angrebet blev sat i sving.

Selvom sårbarheden blev offentliggjort sidste år, er det altså først nu, at flere virksomheder har udsendt patches, der løser problemet.

Microsoft frigav i går en patch, der lukker af for samme sårbarhed. Også flere andre virksomheder som Juniper og Check Point har frigivet sikkerhedsopdateringer, mens TCP-stakken i for eksempel VMwares og Clavisters produkter ikke er omfattet af sårbarheden, ifølge den finske sikkerhedsinstans, CERT-FI.

Se Ciscos oplysninger om sårbarheden og sikkerhedsopdateringen under fanebladet Eksterne links.