Onderzoekers van het Zweedse Outpost24 ontdekten in 2005 dat systemen soms raar reageren op hun open source poortscanner Unicornscan.

Tijdens het scannen werd een viertal /8 netwerken, ongeveer 67 potentiële IP-adressen, onderzocht. "In een aantal gevallen merkten we dat de systemen niet reageerden", stelt Chief Security Officer Robert E. Lee. "Eerst waren we niet bezorgd, maar later zijn we toch eens gaan kijken."

Onderzoek leidde er al snel toe dat het de specifieke kenmerken van Unicornscan waren, die voor een probleem zorgden. De scanner detecteert systemen door er een valide verbinding mee te maken. Op basis daarvan kan sneller worden bepaald met wat voor systeem zaken wordt gedaan, waardoor de resultaten ook nog eens accurater zouden zijn.

Maar daar ontstond precies het probleem. Het digitaal handenschudden is er onder andere voor bedoeld om zaken als een SYN-flood aanval tegen te gaan. Maar dan gaat het volgens Jack C. Louis, senior researcher, helemaal mis: "Het systeem gaat er na de handshake vanuit met een goedwillend client te werken."

Het gevolg is dat de andere kant systeembronnen kan opeisen. Dat is nodig om verschillende vormen van communicatie mogelijk te maken, omdat die nu eenmaal resources nodig heeft om te kunnen werken. Omdat de meeste TCP/IP-stacks in kernelspace werken, zal een te grote aanslag effect hebben op de werking van de hele machine.

Merkbaar op ieder systeem

Het is lastig de gevolgen precies in kaart te brengen, want bij communicatie komen nogal wat onderdelen kijken. Het gaat immers niet alleen om geheugen, maar ook om rekenkracht, timers, enzovoort. Daarbij werkt iedere kernel net iets anders. Volgens de onderzoekers is duidelijk dat de bronnen te claimen zijn en van het systeem afhangt hoe de problemen zich uiten.

Op dit moment hebben de experts naar eigen zeggen vijf verschillende scenario's bedacht, die ze nog niet publiek maken. Maar voor hetzelfde geld worden dat er veel meer en een voorzichtige schatting is dat er in totaal zo'n 30 andere scenario's te bedenken zijn. Ieder met een eigen dynamiek per besturingssysteem, waarvan zij er nog geen hebben gevonden die niet kwetsbaar was.

IPv6

Zonder details publiek te maken, stellen de onderzoekers dat een overstap naar IPv6 de situatie eerder slechter dan beter zou maken. Wie even doordenkt realiseert zich dat een dergelijke migratie zou betekenen dat er niet 32-bits adressen geclaimd worden, maar 128-bits met de bijbehorende resources.

De bug werd ontdekt in 2005, maar de onderzoekers zagen geen oplossing. Vorige maand werden leveranciers gewaarschuwd zonder veel resultaat. Met het publiek maken van het verhaal via Webwereld en een podcast-interview met veel details hopen ze dat er actief aan een oplossing wordt gewerkt. Inmiddels hebben alle grotere leveranciers mensen vrijgemaakt om het probleem te gaan verhelpen.

Bron: Techworld