Todos recordamos aún el ataque DoS que fue conocido hace años como el Ping de la Muerte, que consistía en aprovechar un error en practicamente todas las implementaciones de las pilas TCP/IP de todos los fabricantes de sistemas operativos y electrónica de red (Unix/Linux, Windows, impresoras, routers, firewalls) para mandar un ICMP de tamaño superior al máximo permitido por el protocolo, pero fragmentado, de tal manera que al ser reensamblado superaba el tamaño máximo permitido y producía una denegación de servicio en la máquina que realizaba el "desfragmentado".
Pues bien, esta vulnerabilidad que fue corregida por los fabricantes a lo largo de 1997 parece que ha vuelto a resucitar, no porque se haya encontrado una vulnerabilidad idéntica, sino por el descubrimiento de una técnica similar que recuerda mucho a este ataque debido a lo difundido que está el fallo y a no necesitar requisitos grandes de ancho de banda ni disponer de un botnet ni nada parecido para realizar el ataque.
La vulnerabilidad fue descubierta por los desarrolladores del conocido escaneador de puertos Unicornscan que, según sus propias palabras, mientras realizaban unas pruebas con la herramienta se dieron cuenta que en determinadas circustancias el sistema escaneado respondía a algunos paquetes continuamente hasta que el sistemas dejaba de funcionar y era necesario realizar un reinicio para que recuperara su correcto funcionamiento.
Por lo que se ha podido saber de la vulnerabilidad entre los datos publicados y un "intercambio de posts" entre Fyodor (desarrollador de nmap) y Robert Lee (uno de los descubridores de la vulnerabilidad) parace ser que se trataría de una especie de "SYN de la Muerte", debido a que parece tener algo que ver con la manera en que almacena las conexiones activas una pila TCP/IP cuando recibe un SYN. Además, por una frase que leo en alguno de estos artículos, la herramienta sockstress desarrollada como prueba de concepto (aunque no ha sido publicada) permitiría entre sus parámetros definir IP de origen y de destino, lo que me lleva a pensar si estos parámetros estarán destinados a realizar Spoofing de IP (con lo cual ya sabemos que el DoS está basado únicamente en el paquete SYN) o si por el contrario el ataque es del tipo Echo-Chargen y consiste en hacer que el sistema se reenvie paquetes hasta que se colapse por si mismo.
En cualquier caso, los fabricantes ya están trabajando para lanzar los parches de seguridad adecuados, que serán publicados el día 17 de Octubre, justo antes de que los descubridores de la vulnerabilidad den los detalles técnicos en la T2 Security Conference de Finlandia.
Estemos todos atentos a la publicación de los parches y apliquemelos cuanto antes, antes de que empiecen a aparecer herramientas DoS "on the wild", recordad que esta vez no hace falta disponer de una botnet, un atacante solo necesita lanzar unas pocas conexiones para detener el servicio de nuestras máquinas.
Pues bien, esta vulnerabilidad que fue corregida por los fabricantes a lo largo de 1997 parece que ha vuelto a resucitar, no porque se haya encontrado una vulnerabilidad idéntica, sino por el descubrimiento de una técnica similar que recuerda mucho a este ataque debido a lo difundido que está el fallo y a no necesitar requisitos grandes de ancho de banda ni disponer de un botnet ni nada parecido para realizar el ataque.
La vulnerabilidad fue descubierta por los desarrolladores del conocido escaneador de puertos Unicornscan que, según sus propias palabras, mientras realizaban unas pruebas con la herramienta se dieron cuenta que en determinadas circustancias el sistema escaneado respondía a algunos paquetes continuamente hasta que el sistemas dejaba de funcionar y era necesario realizar un reinicio para que recuperara su correcto funcionamiento.
Por lo que se ha podido saber de la vulnerabilidad entre los datos publicados y un "intercambio de posts" entre Fyodor (desarrollador de nmap) y Robert Lee (uno de los descubridores de la vulnerabilidad) parace ser que se trataría de una especie de "SYN de la Muerte", debido a que parece tener algo que ver con la manera en que almacena las conexiones activas una pila TCP/IP cuando recibe un SYN. Además, por una frase que leo en alguno de estos artículos, la herramienta sockstress desarrollada como prueba de concepto (aunque no ha sido publicada) permitiría entre sus parámetros definir IP de origen y de destino, lo que me lleva a pensar si estos parámetros estarán destinados a realizar Spoofing de IP (con lo cual ya sabemos que el DoS está basado únicamente en el paquete SYN) o si por el contrario el ataque es del tipo Echo-Chargen y consiste en hacer que el sistema se reenvie paquetes hasta que se colapse por si mismo.
En cualquier caso, los fabricantes ya están trabajando para lanzar los parches de seguridad adecuados, que serán publicados el día 17 de Octubre, justo antes de que los descubridores de la vulnerabilidad den los detalles técnicos en la T2 Security Conference de Finlandia.
Estemos todos atentos a la publicación de los parches y apliquemelos cuanto antes, antes de que empiecen a aparecer herramientas DoS "on the wild", recordad que esta vez no hace falta disponer de una botnet, un atacante solo necesita lanzar unas pocas conexiones para detener el servicio de nuestras máquinas.
No hay comentarios :
Publicar un comentario