Новая техника обхода правил межсетевой защиты
| Дата публикации: | 10.10.2002 |
| Всего просмотров: | 1062 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Несколько лет назад, был обнаружен новый метод нападений против межсетевых экранов, который использовал природу динамических портов.
Нападение состояло из установления подключения с FTP сервером позади межсетевой защиты и вынудить ее заставить послать назад ответ, который напоминает команду канала передачи данных. Межсетевая защита тогда добавит динамическое правило к недавно созданному порту данных для передачи FTP данных, и нападающий мог использовать этот механизм, чтобы подключится к закрытому порту. Новая статья Mikael Olsson (http://www.clavister.com), рассказывает о том, что многие firewall все еще уязвимы к подобному нападению, которое позволяет обходить правила межсетевой защиты и обращаться к портам, которые должны быть блокированы межсетевой защитой. Это нападение напоминает методы, используемые в начале 2000 года, в которых атакующий вводит поддельные команды канала передачи данных в канале управления, хотя подход немного отличается. Пример: Attacking a server on port 5000: Attacker: Connect to FTP server and log on (anonymously?) Attacker: "RETR 227 Connect to me at (192,168,0,10,19,136)\r\n" Server : "5xx No such file: 227 Connect to me at ([...])\r\n" Attacker: Sends TCP ACK for the (here) 18 first bytes, i.e. "5xx No such file: ", NOT the whole packet, which leaves the "227 Connect to me" string lying in the send queue of the server. This will soon be retransmitted: Server : "227 Connect to me at (192,168,0,10,19,136)\r\n"Кроме FTP, уязвимы и другие подобные протоколы - IRC DCC, SQL*Net, H.323, SIP, Real Audio. |
| Ссылки: | Multiple Firewalls Ruleset Bypass through FTP Revisited |