TCP-Schwachstelle ermöglicht Reset-Attacken auf Internet-Schaltstellen
Bekannte Schwachstellen im Transmission Control Protocol lassen sich weit einfacher für Reset-Attacken ausnutzen als bislang vermutet. Alle TCP-Implementationen, die sich an die RFC-Standards halten, sind betroffen.
Bekannte Schwachstellen im Transmission Control Protocol (TCP) lassen sich weit einfacher ausnutzen als bislang vermutet. Alle TCP-Implementationen, die sich an die RFC-Standards (darunter RFC 793, der Original-Standard für TCP, und RFC 1323) halten, sind davon betroffen. Sogenannte Reset-Angriffe führen im schlimmsten Fall zu einen Denial-of-Service der zentralen Internet-Router.
Durch die Lücke lässt sich bei TCP-Verbindungen ein Reset auslösen -- eigentlich ein erwünschtes und definiertes Feature von TCP laut den Standard-Dokumenten. Dass es sich theoretisch missbrauchen lässt, war lange bekannt. Die Pakete, die einen Reset der Verbindung auslösen, müssen zu der jeweiligen Verbindung passen. Doch Absender-Port und -Adresse lassen sich beliebig fälschen, Ziel-Port und -Adresse kann der Absender ebenfalls passend wählen. Als Schutz vor willkürlichen Resets bleibt also nur die Sequenznummer, mit der bei einer TCP-Verbindung die Pakete durchnummeriert sind. Bisher galt es als fast unmöglich, dass ein Angreifer eine passende errät oder durch ausprobieren ermittelt. Dieser Schluss scheint jedoch voreilig gewesen zu sein; RST-DoS-Angriffe sind einfacher als angenommen.
Details zu der Schwachstelle hat das britische National Infrastructure Co-ordination Center (NISCC) auf Basis eines Artikels von Paul A. Watson ("Slipping In The Window: TCP Reset Attacks") herausgegeben. Er schätzt die Wahrscheinlichkeit, eine für den Angriff notwendige Paket-Nummer in der zulässigen Sequenz zu erraten, weit höher als bislang angenommen ein. Da der empfangende TCP-Stack die Sequenz-Nummer (ein 32-Bit-Wert) des eingehenden Pakets überprüft, ging man bislang von einer Wahrscheinlichkeit von 1/232 aus, dass ein Angreifer die richtige Sequenznummer erraten kann. Watson weist aber darauf hin, dass der empfangende TCP-Stack jede Sequenz-Nummer in einem bestimmten Bereich akzeptiert. Ein Angreifer müsse daher lediglich 65.535 RST-Segmente erzeugen, um mit einer Attacke erfolgreich zu sein.
Von der Internet Engineering Task Force liegt bereits ein Draft vor, der einige kleinere Änderungen in der Methode vorschlägt, wie TCP eingehende Segmente behandelt. Auch Cisco hat bereits Dokumente für IOS- und Nicht-IOS-Produkte veröffentlicht, die die Schwachstelle beschreiben und Hinweise zur Behebung beziehungsweise auf in den nächsten Tagen verfügbare Software-Updates geben.
Das Advisory des NISCC geht davon aus, dass Geräte, die das Border Gateway Protocol (BGP) einsetzen, am stärksten durch die Schwachstelle bedroht sind. BGP ist immer noch als eines der meistgenutzten Routing-Protokolle zwischen den zentralen Internet-Routern, es setzt eine persistente TCP-Verbindung zwischen den BGP-Kommunikationspartnern voraus. Schafft es ein Angreifer, die BGP-Verbindungen von mehreren zentralen Internet-Routern zu kappen, könnten dadurch ganze Teile des Internets abgekoppelt werden.
Wie schwerwiegend sich das Problem bei Geräten einzelner Hersteller auswirkt, hängt von der genauen Umsetzung der jeweiligen Anwendung ab. Möglicherweise wird die Verbindung automatisch wieder aufgebaut, in anderen Fällen kann aber ein Eingriff eines Administrators dafür notwendig werden.
Siehe dazu auch: (jk)
- Vulnerability Issues in TCP -- NISCC Vulnerability Advisory 236929
- Transmission Control Protocol security considerations -- IETF draft-ietf-tcpm-tcpsecure-00
- TCP Vulnerabilities in Multiple Non-IOS Cisco Products -- Cisco Security Advisory
- TCP Vulnerabilities in Multiple IOS-Based Cisco Products -- Cisco Security Advisory
- Weitere Details und Schutzmaßnahmen zur TCP-Schwachstelle auf heise Security
