Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Grave vulnerabilidad en el protocolo TCP
 
VSantivirus No. 1386 Año 8, jueves 22 de abril de 2004

Grave vulnerabilidad en el protocolo TCP
http://www.vsantivirus.com/ev-vul-tcp.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/


[Publicado con autorización de Enciclopedia Virus]

Grave vulnerabilidad en el protocolo TCP podría causar grandes daños

La que sería una importante vulnerabilidad en el protocolo TCP (Transmission Control Protocol), ha sido revelada esta semana. La gravedad de la misma estriba en que cualquier atacante podría interrumpir a su antojo todas las conexiones realizadas entre servidores y routers, causando un gran caos en Internet.

Según el anuncio, el impacto de este fallo, puede variar entre los diversos fabricantes de routers, y del software utilizado (navegadores, programas de correo, aplicaciones P2P, mensajería instantánea, y muchos otros servicios que hacen al uso diario de Internet).

Junto a IP, TCP es uno de los protocolos fundamentales para el funcionamiento de Internet. Y aunque aún existe cierta confusión sobre los detalles del problema, la mayoría de los escenarios afectados son tremendamente críticos. En principio serían todos aquellos que utilizan conexiones de larga duración y gran ancho de banda.

Uno de los protocolos más afectados por esta vulnerabilidad en TCP, es el llamado BGP (Border Gateway Protocol), que se emplea para el intercambio de información de enrutamiento y el mantenimiento de las tablas de direcciones IP, y que hace uso intensivo de las conexiones TCP, sin utilizar ningún tipo de autenticación.

Además del protocolo BGP, otros protocolos como DNS (usado para la resolución de nombres), y todos los protocolos que utilizan cifrado SSL, también serían vulnerables.

Aunque el fallo fue descubierto a finales del año pasado, no se le dio mayor trascendencia, debido a que la posibilidad de un ataque exitoso, era de una en cuatro mil millones. Sin embargo, esta semana ha tomado estado público después que el experto en seguridad Paul Watson, afirmara haber descubierto un método para explotar esta vulnerabilidad con mucha mayor facilidad. Además, ya existen pruebas de concepto que demuestran que ello es posible. Por otra parte, el mismo experto anunció que dará más detalles sobre el tema, en la conferencia sobre seguridad llamada CanSecWest Conference, precisamente hoy jueves (22/4/04).

Casi todos coinciden en que el problema podría ser muy grande, ya que involucra a casi cualquier comunicación realizada vía Internet. No es un problema de software mal construido o con errores, sino que afecta directamente a toda tecnología que cumpla con los estándares de TCP/IP.

Básicamente, en toda conexión vía TCP, las dos partes involucradas negocian el tamaño de la llamada "ventana TCP", que indica la cantidad de paquetes enviados por vez, antes de pedirse y enviarse una autenticación. Esta ventana permite calcular a un atacante el número de paquetes falsos que podría enviar para que sean aceptados, antes de ser validados. Esta facilidad aumenta con más ancho de banda, ya que generalmente, mientras más rápidas sean las conexiones, más grande es la ventana (y se reduce el tiempo de necesidad de autenticación, o sea, se envían más paquetes en menos tiempo). Mientras más paquetes se permitan por ventana, más paquetes falsos pueden insertarse.

Al insertar un paquete falso con determinadas características, por ejemplo un paquete RST (Reset), un atacante terminaría la sesión TCP entre los dos extremos, sin permitir la posterior comunicación. Además, podrían usarse grandes cantidades de máquinas comprometidas por un gusano o un troyano (máquinas "zombies"), para generar cientos o miles de paquetes dirigidos a determinados sitios, ocasionando la misma cantidad de ataques de denegación de servicio (DoS).

Casi cualquier protocolo que se base en la utilización de conexiones TCP persistentes en el tiempo, y cuyos puertos y direcciones IP puedan ser identificados (prácticamente todos los servicios de Internet conocidos), sería vulnerable.

Muchos fabricantes de routers (Juniper y Cisco por ejemplo), ya han admitido estar afectados por el problema, y otros, como NEX, Hitachi, etc., han dicho que aun se encuentran estudiándolo.

Sin embargo, para algunos expertos, el fallo solo afectaría a las conexiones permanentes o de larga duración. De todos modos, en los próximos días, seguramente se revelarán más detalles que indicarán el verdadero alcance de esta vulnerabilidad.


Más información:

Vulnerabilidades en TCP
http://www.unam-cert.unam.mx/Boletines/Boletines2004
/boletin-UNAM-CERT-2004-006.html


Vulnerabilidades TCP en productos Cisco
http://www.unam-cert.unam.mx/Boletines/Boletines2004
/boletin-UNAM-CERT-2004-007.html


Multiple Vendor TCP Denial of Service Vulnerability
http://xforce.iss.net/xforce/alerts/id/170

Vulnerabilities Issues in TCP
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Vulnerabilities in TCP
http://www.us-cert.gov/cas/techalerts/TA04-111A.html


(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=427






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS