Onderzoekers van beveiligingsbedrijf Outpost24 hebben een beveiligingsprobleem in het TCP IP-protocol ontdekt waarmee aanvallers met enkele datapakketjes computers en servers kunnen platleggen. Het probleem is vergelijkbaar met een denial of service aanval, waarbij een systeem wordt overspoeld met dataverkeer. Bij dit probleem is echter slechts een beperkte hoeveelheid verkeer nodig.

"Met minder dan 10 IP-pakketten kunnen we de meeste TCP-diensten offline halen", vertelt onderzoeker Jack Lewis tegen Webwereld. Omdat het probleem het internetprotocol zelf treft, zijn alle besturingssystemen kwetsbaar. Outpost24 heeft inmiddels een proof of concept gecreëerd die het beveiligingsprobleem bewijst.

Outpost24 ontdekte de nieuwe vorm van Denial-of-Service-aanvallen tijdens het werken aan de open source portscanner Unicorn. Gebruikers kunnen met de applicatie softwareversies op grotere netwerken detecteren.

Bevestiging

Het Nederlandse Fox IT bevestigt na onderzoek de bevindingen van Outpost24. "Gebaseerd op de beschikbare informatie, is deze kwetsbaarheid potentieel een serieus probleem voor de beschikbaarheid van systemen", vertelt Erwin Paternotte van Fox IT. "Indien de details van deze kwetsbaarheid bekend worden, is het voor iedereen relatief eenvoudig om een Denial-of-Service aanval uit te voeren."

Verstoringen

De problemen kwamen aan het licht toen de makers Unicorn uitprobeerden op een verzameling van 67 miljoen internethosts. "We ontdekten dat sommige systemen niet meer reageerden. Dat was uiteindelijk reden om eens uit te zoeken hoe dat kwam", vertelt Robert E. Lee, Chief Security Officer van Outpost24 tegen Webwereld.

Desgevraagd geeft hij aan de tool breed te hebben getest, maar nog geen systeem te hebben gevonden dat niet kwetsbaar voor de zwakheid is. Al lichten de onderzoekers een tipje van de sluier op, toch worden niet alle details vrijgegeven. Lewis heeft daar een goede reden voor: "Het vervelende is dat er op dit moment geen oplossing is." Firewalls en intrusion prevention systemen kunnen het probleem ook niet voorkomen.

Tijd dringt

Dat de onderzoekers nu toch publiek gaan, heeft ermee te maken dat er geen oplossing komt en de tijd begint te dringen. Het probleem werd in 2005 al ontdekt, maar er is nog geen oplossing. Het Finse Computer Emergency Response Team coördineert het onderzoek naar een oplossing.

"We hopen dat we met deze stap de bewustwording rond het probleem kunnen stimuleren en dat mensen die slimmer zijn dan wij aan een oplossing gaan werken", stelt Lee. "Het feit dat wij geen oplossing kunnen bedenken betekent niet dat die er niet is. We hebben hem alleen niet bedacht."

IPv6 verergert lek

De aankomende overstap naar IPv6 maakt de problemen nog erger. "Als mensen migreren, worden de problemen alleen maar groter", stelt Lee. Binnen dat protocol is ruimte voor meer adressen wat de problemen zal vergroten.

Conferentie

Lee en Lewis presenteren hun werk op 17 oktober op de beveiligingsconferentie T2. Daar zullen ze de aanval demonstreren, maar geen diep technische details geven.

Wel hebben ze een uitgebreide uitleg met enkele technische details gegeven in de podcast De Beveiligingsupdate.

Bron: Webwereld Bron: Techworld