Biztonsági rést fedeztek fel a Symantec Raptor tűzfal megoldásában
[ZDNet] Bosszantó és kellemetlen biztonsági résre bukkantak a szakemberek a Symantec Raptor tűzfalprogramjaiban. A hibát kihasználva támadhatóvá, sebezhetővé válik az eredetileg biztonságosnak hitt rendszer.
A hiba a tűzfal működési mechanizmusából ered: a program véletlenszerű azonosítókat -- TCP Initial Sequence Numbers -- generál minden egyes kapcsolódáshoz. A sebesség növelése érdekében a rendszer az azonos IP-címről és portról érkező kapcsolódási kérések számára ugyanazt az azonosítót használja az eredeti kapcsolódás után is, a rendszer számára megadott -- igen rövid -- időintervallumon belül. Ez alatt az időtartam alatt a tűzfal sebezhető, s az úgynevezett "spoofing" technika alkalmazásával bármilyen adatcsomag átjuttatható rajta.
Ráadásként az ISN azonosítószámok generálása sem elég véletlenszerű, ez tovább növeli a kockázatot. "Az ISN azonosítók generálásának gyengesége miatt a támadó nagy valószínűséggel találhat olyan ISN számot, melyet felhasználhat a támadáshoz," -- mondta a hiba felfedezője, Kristof Philipsen, az Ubizen biztonsági cég szakembere.
Philipsen elmindása szerint az ISN számot a forrás és cél IP-címből és port-számból generálja a rendszer. A Symantec hat Raptor tűzfala ezt a megoldást használja.
A hiba a következő tűzfalakat érinti:
- Raptor Firewall 6.5 (Windows NT)
- Raptor Firewall V6.5.3 (Solaris)
- Symantec Enterprise Firewall 6.5.2 (Windows 2000 és NT)
- Symantec Enterprise Firewall V7.0 (Solaris)
- Symantec Enterprise Firewall 7.0 (Windows 2000 és NT)
- VelociRaptor Model 500/700/1000
- VelociRaptor Model 1100/1200/1300
- Symantec Gateway Security 5110/5200/5300
Az Ubizen és a Symantec hétfőn tette közzé figyelmeztetését, a cég pedig mára már elérhetővé tette a biztonsági rést befoltozó frissítést honlapján.