L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de TCP : déni de service à l'aide de paquet Reset

Synthèse de la vulnérabilité 

En envoyant des paquets contenant le drapeau Reset et en prédisant certaines informations, un attaquant peut interrompre des sessions TCP actives.
Produits vulnérables : FabricOS, Brocade Network Advisor, Brocade vTM, FW-1, VPN-1, ASA, Cisco Cache Engine, Cisco Catalyst, Cisco CSS, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance, FreeBSD, Tru64 UNIX, AIX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, NSMXpress, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, OpenBSD, TCP (protocole), Raptor Firewall, SUSE Linux Enterprise Desktop, SLES, SEF, SGS.
Gravité de cette faille : 3/4.
Date de création : 21/04/2004.
Dates de révisions : 22/04/2004, 23/04/2004, 26/04/2004, 27/04/2004, 28/04/2004, 03/05/2004, 07/05/2004, 11/05/2004, 15/07/2004, 06/12/2004, 24/12/2004, 18/02/2005, 13/04/2005, 03/05/2005, 12/05/2005, 19/07/2005.
Références de ce bulletin : 20040403-01-A, 2005.05.02, 236929, 50960, 50961, 58784, 899480, 922819, BID-10183, BSA-2016-005, CERTA-2004-AVI-138, CERTA-2004-AVI-140, CERTA-2004-AVI-143, CERTFR-2014-AVI-308, CERTFR-2017-AVI-034, CERTFR-2017-AVI-044, CERTFR-2017-AVI-054, CERTFR-2017-AVI-131, CERTFR-2020-AVI-308, CISCO20040420a, CISCO20040420b, cisco-sa-20040420-tcp-ios, cisco-sa-20040420-tcp-nonios, CSCed27956, CSCed32349, CVE-2004-0230, FG-IR-16-039, FreeBSD-SA-14:19.tcp, HP01077, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, JSA10638, MS05-019, MS06-064, NetBSD 2004-006, NetBSD-SA2004-006, Netscreen 58784, OpenBSD 34-019, OpenBSD 35-005, PSN-2012-08-686, PSN-2012-08-687, PSN-2012-08-688, PSN-2012-08-689, PSN-2012-08-690, SGI 20040403, SUSE-SU-2017:0333-1, SUSE-SU-2017:0437-1, SUSE-SU-2017:0494-1, SUSE-SU-2017:1102-1, V6-TCPRSTWINDOWDOS, VIGILANCE-VUL-4128, VU#415294.

Description de la vulnérabilité 

L'entête TCP contient un champ window/fenêtre qui correspond à la taille du buffer de réception de la machine ayant émis le paquet. Ainsi si certains paquets arrivent dans le désordre la machine peut les stocker en attente de réception des paquets précédents.

Lorsqu'une connexion TCP est établie, elle peut se terminer de deux manières :
 - les entités s'échangent des paquets contenant le drapeau Fin actif. Dans ce cas, les numéros de séquence (et d'acquittement car le Ack est nécessaire) doivent correspondre exactement.
 - l'une des entités envoie un paquet contenant le drapeau Reset actif. Dans ce cas (drapeau Ack non actif), seul le numéro de séquence doit correspondre approximativement. En effet, il doit se situer dans la fenêtre de réception.

Ainsi, au lieu de deviner un numéro de séquence parmi 2^32 nombres, l'attaquant doit simplement envoyer 2^32/fenêtre paquets Reset. Par exemple si la taille de la fenêtre est 32k, l'attaquant doit envoyer 2^32/32k = 131072 paquets.

Il faut noter que pour mener ce déni de service utilisant un paquet TCP Reset, l'attaquant doit connaître :
 - les adresses IP source et destination
 - les ports source et destination
Certains protocoles comme BGP deviennent alors sensibles car ces informations peuvent être obtenues.

Un attaquant peut ainsi envoyer un paquet TCP contenant le drapeau Reset pour interrompre une session TCP active.

On peut noter que des paquets SYN peuvent aussi être utilisés, mais cette variante est moins efficace à cause des limitations généralement mises en place pour protéger contre les attaques synflood.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cyber-sécurité concerne les logiciels ou systèmes comme FabricOS, Brocade Network Advisor, Brocade vTM, FW-1, VPN-1, ASA, Cisco Cache Engine, Cisco Catalyst, Cisco CSS, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance, FreeBSD, Tru64 UNIX, AIX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, NSMXpress, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, OpenBSD, TCP (protocole), Raptor Firewall, SUSE Linux Enterprise Desktop, SLES, SEF, SGS.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille cybersécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette menace.

Solutions pour cette menace 

TCP : solution générique.
Une proposition de modification du protocole TCP a été soumise :
  http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-00.txt
En attendant son implémentation plusieurs solutions sont envisageables :
 - utiliser IPSec
 - limiter la taille de la fenêtre TCP
 - activer la signature MD5 sur les paquets TCP (RFC2385)
 - ne pas rendre disponibles les informations sur les ports TCP source et destination ("sho ip bgp nei")
 - limiter la propagation des paquets usurpés
 - pour BGP, un TTL de 255 peut être employé pour les machines sur le même LAN (GTSM, RFC3682)

Firewall-1 : versions corrigées.
Les versions R55 HFA-03, R54 HFA-410 et NG FP3 HFA-325 sont corrigées. Le message ci-dessous les détaille et indique comment les configurer.

Cisco : versions corrigées pour TCP.
Les deux annonces Cisco listent toutes les solutions à utiliser pour leurs produits.

Juniper/Netscreen : versions corrigées.
La version 5.0r6 de Netscreen ScreenOS est corrigée.
L'alerte ci-dessous indique les solutions pour les routeurs Juniper.

Tru64 UNIX : patches.
L'annonce de HP détaille les solutions.

Symantec : patches.
Symantec indique que des patches sont disponibles pour leurs produits :
  http://www.symantec.com/techsupp

AIX : APARs pour TCP et ICMP.
Des APARs sont disponibles :
  AIX 5.1.0: IY70028, IY55950, IY63365
  AIX 5.2.0: IY70027, IY55949, IY63364
  AIX 5.3.0: IY70026, IY62006, IY63363
Des nouvelles options sont à configurer :
  no -o tcp_icmpsecure=1
  no -o tcp_tcpsecure=7

Brocade : solution pour multiples vulnérabilités (13/04/2016).
La solution est indiquée dans les sources d'information.

FortiAnalyzer/FortiManager : versions corrigées pour Blind Reset Attack.
Les versions corrigées sont indiquées dans les sources d'information.

FreeBSD : patch pour TCP.
Un patch est disponible :
  http://security.FreeBSD.org/patches/SA-14:19/tcp.patch

Juniper NSMXpress : version 2012.1.
La version 2012.1 est corrigée :
  http://www.juniper.net/

Junos : versions corrigées pour TCP.
Les versions corrigées sont indiquées dans les sources d'information.

NetBSD : patches.
L'annonce NETBSD-SA2004-006 indique des patches améliorant le fonctionnenement de la pile IP.

OpenBSD : patch.
OpenBSD est sensible à la variante d'attaque utilisant des paquets SYN. Des paches sont disponibles pour limiter le nombre de paquets émis par seconde.
  ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.5/common/005_tcp.patch
  ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/019_tcp2.patch

SUSE LE 11 SP2 : nouveaux paquetages kernel (31/01/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : kernel 3.0.101-0.7.53.1

SUSE LE 11 SP3 : nouveaux paquetages kernel.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : kernel 3.0.101-0.47.96.1

SUSE LE 11 SP4 : nouveaux paquetages kernel (10/02/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : kernel 3.0.101-94.1

SUSE LE 11 SP4 : nouveaux paquetages kernel-rt (26/04/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : kernel-rt 3.0.101.rt130-68.1

Windows : patches pour TCP/IP.
Des patches sont disponibles :
  Microsoft Windows 2000 Service Pack 3 et Microsoft Windows 2000 Service Pack 4
    http://www.microsoft.com/downloads/details.aspx?FamilyId=FCDF84FF-AE44-4EB1-A58C-12D5D122FC95
  Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
    http://www.microsoft.com/downloads/details.aspx?FamilyId=81049A86-6F39-4A27-A643-391262785CF3
  Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
    http://www.microsoft.com/downloads/details.aspx?FamilyId=98D7C0DA-EA4D-4095-9047-C0086D0D29A8
  Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
    http://www.microsoft.com/downloads/details.aspx?FamilyId=AC019224-82BE-4263-B977-02D4DC6C9FF6
  Microsoft Windows Server 2003
    http://www.microsoft.com/downloads/details.aspx?FamilyId=F1F9A44F-D4F1-4EF8-83F7-737DF6CC292E
  Microsoft Windows Server 2003 for Itanium-based Systems
    http://www.microsoft.com/downloads/details.aspx?FamilyId=AC019224-82BE-4263-B977-02D4DC6C9FF6

Windows : patch pour IPv6.
Un patch est disponible :
Windows XP SP1, SP2
  http://www.microsoft.com/downloads/details.aspx?FamilyId=9fd73d12-ff7c-411d-944d-a6f147b20775
Windows XP Professional x64
  http://www.microsoft.com/downloads/details.aspx?FamilyId=fc98f55c-520e-4a68-a3c3-0df51c6122bb
Windows Server 2003 Gold, SP1
  http://www.microsoft.com/downloads/details.aspx?FamilyId=102591a0-2b58-497b-bc20-593571b96e9c
Windows Server 2003 Itanium Gold, SP1
  http://www.microsoft.com/downloads/details.aspx?FamilyId=12515d47-134d-4d1f-9ae7-f0a7167ec424
Windows Server 2003 x64
  http://www.microsoft.com/downloads/details.aspx?FamilyId=c5faba34-48f5-4875-a0fa-6b8207f9b276
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des annonces de vulnérabilité informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.