Múltiples sistemas afectados por denegación de servicio por mensajes ICMP
Se ha publicado un documento que describe como el protocolo ICMP (Internet Control Message Protocol) puede ser empleado para realizar ataques de denegación de servicio contra el protocolo TCP.
Este documento se ha distribuido a través de la Internet Engineering Task Force (IETF), y titulado como “ICMP Attacks Against TCP” (draft-gont-tcpm-icmp-attacks-03.txt).
Estos ataques, que solo afectan a sesiones que terminan o se originan en el propio dispositivo y pueden ser de tres tipos:
1. Ataques que usan mensajes ICMP de error fuerte
2. Ataques que usan mensajes ICMP tipo 3 código 4 falsificados (“fragmentación necesaria y sin fragmentar”)
3. Ataques que usan mensajes ICMP “Source Quench”
Los ataques exitosos, en función de su tipo, pueden provocar la pérdida de conexiones o la reducción del rendimiento de las conexiones existentes.
Se ven afectados un gran número de productos de diversos fabricantes.
Entre otros, Cisco publicó esta semana un aviso en el que informaba de la forma en que este tipo de ataques afectaba a un gran número de sus dispositivos.
Se ven afectados todos los productos Cisco que ejecuten cualquier versión de Cisco IOS y tengan habilitado PMTUD. Los siguientes dispositivos Cisco IOS o software basedo en Cisco IOS también son vulnerables:
* Switches Catalyst 4000 y 6000.
* Puntos de acceso y bridges Cisco Aironet Wireless LAN.
* Catalyst 2900XL, 2900XL-LRE, 3500XL, 2940, 2950, 2950-LRE, 2955 y 2970.
* Catalyst 2948G-L3, 3550, 3560, 3750 y 3750-ME.
* Communication Media Module (CMM).
* Cisco Optical Network Solutions (ONS).
* Cisco DistributedDirector.
También son vulnerables dispositivos Cisco que no ejecuten IOS como:
* Cisco CRS-1.
* Cisco PIX Security Appliance.
* Cisco IP Phones.
* Cisco Catalyst 6608 Voice Gateway y Cisco 6000 FXS Analog Interface Module (WS-X6624-FXS).
* Cisco 11000 y 11500 Content Services Switches (CSS).
* Global Site Selector (GSS).
* Cisco ONS products: ONS 15302 and ONS 15305.
* Cisco MDS 9000 Series Multilayer Switches.
* VPN 5000 concentrator.
Cisco ha publicado las actualizaciones necesarias para corregir este problema.
Según ha confirmado Sun los sistemas Solaris 7, 8, 9 y 10 también se ven afectados por este tipo de ataques, aunque por el momento no hay ningún tipo de actualización disponible para evitar el problema.
Los sistemas operativos de Microsoft, (Windows 2000, Windows XP, Windows Server 2003, Windows 98 y Windows ME) también se ven afectados. Por ello, dentro de los boletines de seguridad de Microsoft publicados esta semana, se distribuyo el MS05-019, en el que se informa sobre este problema y se ofrecen las actualizaciones necesarias para evitarlos.
Otros sistemas como IBM AIX, los routers Juniper Networks M-series y T-series o los firewalls Watchward también se ven afectados por esta vulnerabilidad.