Testez votre vulnérabilité à la faille TCP Spoofed Connection

Par Rédaction, secuobs.com
Le 25/04/2004

---

Résumé : Mercredi 21 avril 2004, le Computer Emergency Response Team américain (CERT US) diffuse une alerte sur la vulnérabilité des Routeurs et Switchs CISCO qui ne sont pas basés sur le systeme d’exploitation propriétaire Internetworking Operating System (IOS) de la même marque. - Lire l'article



Mercredi 21 avril 2004, le Computer Emergency Response Team américain (CERT US) diffuse une alerte sur la vulnérabilité des Routeurs et Switchs CISCO qui ne sont pas basés sur le systeme d'exploitation propriétaire Internetworking Operating System (IOS) de la même marque.

Paul A. Watson est à l'origine de cette alerte, il vient de diffuser ses recherches sur une vulnérabilité plus ou moins connue du protocol de transport Transfert Control Protocol (TCP, cf. RFC793).

Ces recherches aboutissement à la possibilité pour une tierce personne mal intentionnée d'interrompre une connexion de ce type entre deux machines en injectant son propre paquet.

Ce paquet doit alors comporter un flag (drapeau) positionné en reset (RST) ou sur une demande de synchronisation de connexion (SYN) ; pour être efficace le paquet doit sembler provenir de l'une de ces deux machines (spoofing).

Cette faille est connue depuis un certain temps, mais sa portée n'était que théorique jusqu'à présent. Sa faible probabilité de réussite était dûe à la valeur d'ordre (sur 32 bits) que l'on doit affecter au paquet afin qu'il s'intègre parfaitement dans la séquence de la connexion.

Cette valeur d'ordre est fixée aléatoirement en début de session puis est incrementée pour chaque paquet. Le protocol TCP, contrairement à un protocol de transport comme User Datagram Protocol (UDP), vérifie l'arrivée de ces paquets au destinataire.

Les réseaux à commutation de paquets (internet, ethernet) permettent l'arrivée des paquets dans un ordre différents de celui de leur construction. Chaque paquet peut emprunter un chemin différent plus ou moins rapide avant d'arriver à l'expéditeur, le numéro de séquence permet de reconstituer l'ordre de l'ensemble des données.

Ce taux de probabilité a pu être ramené à un niveau élevé par la découverte de Paul A. Watson qui a mis à jour une particularité affectant la vérification de la validité de cette valeur d'ordre.

Il n'est en fait pas obligatoire de vérifier l'ensemble des numéros de séquence, seule une partie calculée en fonction de la fenêtre TCP (variable selon les systèmes d'exploitation) peut permettre d'insérer ses propres paquets.

Cette particularité pose d'autant plus de problèmes que le protocol TCP est l'une des pierres angulaires d'Internet, des services vitaux comme BGP (protocol d'interconnexion des passerelles qui relient les réseaux des plus grands opérateurs mondiaux) ou DNS (pour les zones de transferts de nom de domaine).

Ces services nécéssitent des connexions permanentes qui vont d'eux des cibles privilégiées à ces interruptions de service, de nombreux réseaux pourraient se retrouver isolés les uns des autres si ces services étaient amenés à être attaqués.

Paul A. Watson a démontré pouvoir interrompre n'importe quelle connexion TCP dans des délais de l'ordre des minutes à partir de connexion haut débits de type "particulier", ce délai pouvant être ramené à l'ordre des secondes dans le cas de lignes "professionnelles" offrant une bande passante plus importante.

Depuis Mercredi, ce sont de grands noms qui se succédent au banc des applications vulnérabes au Déni de Service (DoS), la liste s'allonge chaque jour qui passe et notamment : - Symantec (Client Firewall), Check Point (SecurePlatform), Cray (UNICOS), SEIL, Sun (Fire & Netra), SGI, NetBSD ...

Les solutions qui s'offrent à vous afin d'éviter l'injection de paquets tiers sont diverses vu la multitude de systèmes atteints, les préconisations sont de passés par des systèmes permettant de signer les paquets TCP échangés lors de vos connexions, l'utilisation de protocol sécurisé qui travaille sous la couche TCP comme IPSec ou TCP-MD5.

Si vous souhaitez tester vos infrastructures (machines ou passerelles) sur cette faille, vous pouvez utiliser notre service gratuit de détection de vulnérabilité Exoscan en cliquant lien location=200, directories=0, status=0, scrollbars=1, resizable=0, copyhistory=0, menuBar=0, width=670, height=450');return(false)">ici.

Il intégre dès à présent le plugin nasl "TCP sequence number approximation" développé par Tenable Network Security dans le cadre du projet Opensource Nessus, si vous souhaitez une description de ce plugin, cliquez ici.