Ciscos TCP-Stack anfällig für DoS-Attacken

Cisco hat ein Software-Update für zahlreiche seiner Produkte zur Verfügung gestellt, um eine DoS-Schwachstelle zu beseitigen. Angreifer können durch Manipulation des Zustands einer etablierten TCP-Verbindung erreichen, dass es für die Verbindung kein Time-Out gibt. Damit bleibt die Verbindung für immer bestehen. Laut Cisco hängen sie beispielsweise im FINWAIT1-Zustand fest.

Erreicht der Angreifer dies für eine Vielzahl von Verbindungen, belegt dies so viel Ressourcen, dass keine weiteren Verbindungen mehr zum angegriffenen System möglich sind. Abhilfe brächte nur ein Reboot. In einigen stürzt das System sogar ab.

Betroffen sind Cisco IOS, IOS-XE, CatOS, ASA, PIX, NX-OS und Produkte der Linksys-Reihe. Eine genaue Übersicht der betroffenen und nicht betroffenen Systeme ist im Originalfehlerbericht des Herstellers zu finden.

Neu ist das Problem nicht, es schwelt schon seit Längerem in den TCP-Stacks verschiedener Hersteller und ist eigentlich ein Fehler im TCP-Protokoll selbst. Erstmals berichteten Robert E. Lee und Jack C. Louis von Outpost24 über das Problem im vergangenen Oktober. Sie stellten mit einem Tool fest, dass bereits eine schmalbandige Internet-Verbindung ausreicht, um einen breitbandig angeschlossenen Server vom Netz zu schießen. Seit dieser Entdeckung basteln mehrere Hersteller an einer Lösung des Problems.

Neben Cisco hat auch Microsoft gestern ein Patch zur Lösung des Problems veröffentlicht. Auch Checkpoint, Juniper und andere Hersteller haben jetzt reagiert. Das finnische CERT hat nun auch endlich Details zu dem Problem und das Tool Sockstress veröffentlicht.

Siehe dazu auch:

• TCP State Manipulation Denial of Service Vulnerabilities in Multiple Cisco Products, Bericht von Cisco
• CERT-FI Advisory on the Outpost24 TCP Issues, Bericht von CERT-FI
• Spekulationen um DoS-Schwachstelle im TCP-Protokoll, Meldung auf heisec

(dab)