|
VSantivirus No. 828 - Año 6 - Domingo 13 de octubre de 2002
Vulnerabilidad en BlackICE y Norton Personal Firewall
http://www.vsantivirus.com/vul-blackice-nortonpf.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Norton Personal Firewall 2002 y BlackICE Server, son dos populares cortafuegos comerciales, usados por una gran cantidad de usuarios en el mundo entero.
Ambos, poseen la habilidad de bloquear automáticamente las direcciones IP de sitios que generen un gran tráfico de paquetes con información maliciosa. En otras palabras, los usuarios quedan desconectados de estos sitios y no pueden acceder a ellos.
Esta habilidad puede ser utilizada para generar una condición de "Denegación de servicio" (D.o.S por sus siglas en inglés), simulando por medio de engaños la verdadera procedencia de paquetes UDP con información corrupta, para hacerla pasar como originada en grandes sitios como Yahoo, Google, etc.
La solución momentánea es configurar estos programas (otros cortafuegos que tengan esta habilidad también podrían ser vulnerables), para que eliminen silenciosamente estos paquetes sin bloquear todo el tráfico de las direcciones IP supuestamente originadoras del "ataque".
La vulnerabilidad fue testeada en los siguientes productos:
- BlackICE Defender for server version 2.9.cap
- BlackICE Server Protection version 3.5.cdf
- Norton personal firewall 2002 (version 4.0)
Otros productos como ZoneAlarm, protegen de estos paquetes sin bloquear las direcciones.
La falla puede ser explotada fácilmente con herramientas disponibles desde hace mucho en Internet. Solo se requiere generar una gran cantidad de paquetes UDP maliciosos, y hacerlos pasar por provenientes de cualquier sitio que se desee
bloquear en la computadora de la víctima.
Generando una serie de ataques coordinados, se podrían llegar a bloquear sitios importantes a todos quienes usaran los cortafuegos vulnerables a esta característica.
En el caso del BlackICE, cuando recibe uno de estos ataques, su icono en la bandeja de entrada comienza a parpadear y la entrada es agregada automáticamente a su configuración, procediéndose a bloquear dicha dirección si se siguen produciendo arribo de paquetes malignos desde la misma dirección IP después de un determinado tiempo y cantidad. Esto hace que dicha dirección sea inaccesible para el usuario, sin ninguna otra advertencia.
Note que el usuario no es consciente de que dirección está siendo bloqueada. Simplemente cuando intente ingresar a determinado sitio, éste aparece inaccesible. Cómo otros sitios pueden ser accedidos, tal vez piense en una falla de esa página, e ignore que es su cortafuegos el que la está bloqueando. Esto es considerado una "denegación de servicio" (para entrar a ese sitio en particular).
Las respuestas de Symantec y BlackICE son similares. Ambos consideran la posibilidad de bloqueo de direcciones IP que produzcan una gran cantidad de paquetes malignos como parte importante de sus características de seguridad.
Además, en el caso de Symantec, su producto no mantiene el bloqueo en forma indefinida. Por defecto, este bloqueo se mantiene por 30 minutos antes de volver a la normalidad. También proporciona una lista de exclusión, donde el usuario puede agregar las direcciones que no desee sean bloqueadas por esta característica automática. En todos los casos, los paquetes maliciosos siempre serán bloqueados antes de llegar al sistema.
Pero a pesar de considerar esta falla de muy bajo riesgo, Symantec y posiblemente BlackICE están trabajando en hacer más inteligente la habilidad de autobloqueo implementada en sus cortafuegos.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|