L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de TCP : déni de service Sockstress

Synthèse de la vulnérabilité 

Un attaquant peut employer des fenêtres TCP de petite taille afin de surcharger un serveur TCP.
Produits impactés : ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, VPN-1, ASA, Cisco Catalyst, IOS par Cisco, Cisco Router, BIG-IP Hardware, TMOS, Linux, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows Vista, Windows XP, NLD, OES, OpenSolaris, openSUSE, Solaris, Trusted Solaris, TCP (protocole), StoneGate Firewall, StoneGate IPS, SLES, Unix (plateforme) ~ non exhaustif.
Gravité de ce bulletin : 2/4.
Date de création : 01/10/2008.
Dates de révisions : 20/10/2008, 09/09/2009.
Références de cette menace : 109444, 110132, 267088, 6759500, 967723, BID-31545, c01923093, CERTA-2009-ALE-017-003, cisco-sa-20090908-tcp24, cisco-sr-20081017-tcp, cpujul2012, CVE-2008-4609, FICORA #193744, HPSBMI02473, MS09-048, SA34, SA35, SA36, SA37, SA38, SA40, SA41, sk42723, sk42725, SOL10509, SOL7301, SOL9293, SSRT080138, SUSE-SA:2009:047, VIGILANCE-VUL-8139, VU#723308.

Description de la vulnérabilité 

Le champ "window" d'un paquet TCP indique la taille de la fenêtre tolérée (et donc de l'intervalle) pour les numéros de séquence des paquets arrivant.

Selon le protocole TCP, lorsque le système ne peut plus recevoir beaucoup de données (par exemple si ses buffers sont presque pleins), il diminue la valeur du champ "window". L'hôte distant envoie alors progressivement ses données.

Un attaquant peut donc se connecter sur un service TCP en écoute, et ainsi artificiellement prolonger la durée de la session, afin de surcharger l'hôte distant.

L'attaquant peut combiner cette vulnérabilité avec un "reverse syn cookies" et l'option TCP Timestamp afin de ne pas avoir à garder d'état sur sa machine.

Un attaquant peut ainsi employer peu de ressources sur sa machine, et forcer l'utilisation de nombreuses ressources sur la cible. L'impact de ce déni de service temporaire dépend du système cible, et est comparable à un attaquant ouvrant réellement de nombreuses sessions TCP (à la différence que cela consomme peu de ressources sur sa machine). L'attaquant ne peut pas usurper (spoofer) son adresse IP pour mener cette attaque.

Il y a plusieurs variantes d'attaques, liées à la taille de la fenêtre ou à la réouverture temporaire de la fenêtre. La vulnérabilité VIGILANCE-VUL-8844 peut être considérée comme une variante.

Lorsque l'attaquant cesse d'envoyer des paquets, le déni de service cesse. Cependant, certaines erreurs d'implémentations additionnelles (comme la vulnérabilité Microsoft CVE-2009-1926 de VIGILANCE-VUL-9008, ou les vulnérabilités de Cisco Nexus 5000 décrites dans la solution pour Cisco) font que le déni de service reste permanent.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de menace informatique concerne les logiciels ou systèmes comme ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, VPN-1, ASA, Cisco Catalyst, IOS par Cisco, Cisco Router, BIG-IP Hardware, TMOS, Linux, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows Vista, Windows XP, NLD, OES, OpenSolaris, openSUSE, Solaris, Trusted Solaris, TCP (protocole), StoneGate Firewall, StoneGate IPS, SLES, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de vulnérabilité informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace sécurité.

Solutions pour cette menace 

TCP : contre-mesure pour Sockstress/Nkiller2.
Certains firewalls (comme Juniper ou NetASQ) implémentent une protection contre cette attaque.
Lorsque l'attaque n'est pas distribuée, il suffit de bloquer l'adresse IP de l'attaquant.
Il faut s'assurer que les services accessibles depuis internet, qui attendent des données sans rien envoyer (comme HTTP), soient configurés pour faire face aux dénis de service distribués.
Certains équipements réseau (comme Cisco) peuvent aussi être configurés contre les dénis de service distribués.

Blue Coat : solution pour Sockstress/Nkiller2.
Une solution est disponible :
Blue Coat iShared :
  https://bto.bluecoat.com/doc/12152
Blue Coat Director :
  https://bto.bluecoat.com/doc/12150
Blue Coat IntelligenceCenter :
  https://bto.bluecoat.com/doc/12151
Blue Coat ProxySG :
  https://bto.bluecoat.com/doc/12154
Blue Coat ProxyAV :
  https://bto.bluecoat.com/doc/12153

Check Point VPN-1 : version pour Sockstress/Nkiller2.
L'annonce Check Point indique les versions corrigées.

Cisco Catalyst Blade Switch : patch.
Un firmware est disponible dans les sources d'information.

Cisco : solution pour Sockstress/Nkiller2.
L'annonce Cisco indique les versions corrigées.
Une contre-mesure consiste à filtrer les accès aux services TCP.

F5 BIG-IP : contre-mesure pour Sockstress/Nkiller2.
Une contre-mesure consiste à mettre en place les protections contre les dénis de service (SOL7301).
La SOL10509 indique les versions corrigées.

Noyau Linux : contre-mesure pour Sockstress/Nkiller2.
Les règles suivantes permettent de limiter le nombre de connexions provenant d'une adresse IP :
  iptables -A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  iptables -A INPUT -p tcp --tcp-flags FIN FIN -m recent --remove
  iptables -A INPUT -p tcp -m recent --set
  iptables -A INPUT -p tcp -m recent --update --seconds 300 --hitcount 10 -j DROP

Solaris : contre-mesure pour TCP.
Une contre-mesure consiste à utiliser ipfilter lors d'une attaque.
Le build 131 d'OpenSolaris est corrigé.

Solaris : CPU de juillet 2012.
Un Critical Patch Update est disponible :
  http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1446033.1

StoneGate : versions corrigées.
Les versions suivantes sont corrigées, et seront disponibles en octobre 2009 :
 - StoneGate Firewall/VPN 4.2.11 ou 5.0.3
 - StoneGate IPS 4.2.4, 4.3.7 ou 5.0.2
Une contre-mesure consiste à limiter les accès directs aux services du produit.

SUSE : contre-mesure pour Sockstress/Nkiller2.
Une contre-mesure consiste à filter les adresses IP des attaques.

Windows : patch pour TCP.
Un patch est disponible :
Windows Server 2003 SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=48d82036-2fde-4bb0-a60e-92eed83ddc3f
Windows Server 2003 x64 SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=e0298ddf-026e-4137-8197-ed9d9b889825
Windows Server 2003 Itanium SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=c948c4d8-5788-4c1a-9fb6-a969b06a888d
Windows Vista Gold, SP1, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=7d72f845-9feb-4685-a669-f9d6ab54f9ed
Windows Vista x64 Gold, SP1, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=b2930ff1-5f0a-4a5d-bf2a-9fb76dd8da63
Windows 2008 32-bit Gold, SP1, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=35c1d5a9-a953-4fc6-90c0-d2358c7b89e6
Windows 2008 x64 Gold, SP1, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=6e46822e-f79d-492d-ad01-ee680ad324f5
Windows 2008 Itanium Gold, SP1, SP2
  http://www.microsoft.com/downloads/details.aspx?familyid=2ac76ee2-b1b6-4300-9cba-af33d9dd54eb
L'annonce Microsoft indique des contre-mesures.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins de vulnérabilités de systèmes. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.