Security Lab

Новая техника обхода правил межсетевой защиты

Дата публикации:10.10.2002
Всего просмотров:1088
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Несколько лет назад, был обнаружен новый метод нападений против межсетевых экранов, который использовал природу динамических портов.

Нападение состояло из установления подключения с FTP сервером позади межсетевой защиты и вынудить ее заставить послать назад ответ, который напоминает команду канала передачи данных. Межсетевая защита тогда добавит динамическое правило к недавно созданному порту данных для передачи FTP данных, и нападающий мог использовать этот механизм, чтобы подключится к закрытому порту.

Новая статья Mikael Olsson (http://www.clavister.com), рассказывает о том, что многие firewall все еще уязвимы к подобному нападению, которое позволяет обходить правила межсетевой защиты и обращаться к портам, которые должны быть блокированы межсетевой защитой.

Это нападение напоминает методы, используемые в начале 2000 года, в которых атакующий вводит поддельные команды канала передачи данных в канале управления, хотя подход немного отличается. Пример:

Attacking a server on port 5000:
Attacker: Connect to FTP server and log on (anonymously?)
Attacker: "RETR 227 Connect to me at (192,168,0,10,19,136)\r\n"
Server  : "5xx No such file: 227 Connect to me at ([...])\r\n"
Attacker: Sends TCP ACK for the (here) 18 first bytes, i.e.
"5xx No such file: ", NOT the whole packet, which leaves the "227 Connect 
to me" string lying in the send queue of the server. This will soon be 
retransmitted:
Server  : "227 Connect to me at (192,168,0,10,19,136)\r\n"
Кроме FTP, уязвимы и другие подобные протоколы - IRC DCC, SQL*Net, H.323, SIP, Real Audio.
Ссылки: Multiple Firewalls Ruleset Bypass through FTP Revisited