Gat in firewall Symantec ontdekt

Fout met TCP Initial Sequence Numbers

06 augustus 2002 | Jasper Koning In de firewall Raptor van Symantec is een fout ontdekt waardoor aanvallers communicatie met een beschermd systeem kunnen onderscheppen. De fout zit in de manier waarop de software omgaat met getallen voor elke nieuwe verbinding.

De zogeheten TCP Initial Sequence Numbers (ISN) worden door het programma hergebruikt om de snelheid te verhogen. De firewall hergebruikt de getallen voor verbindingen die vanaf hetzelfde ip-adres en tcp-poort afkomstig zijn gedurende een korte periode nadat de oorspronkelijke verbinding is afgesloten, zeggen de onderzoekers. Gedurende deze periode kan een hacker het ip-adres en de tcp-informatie van een geautoriseerde verbinding gebruiken om een nieuwe, ongeautoriseerde verbinding te maken, een techniek die 'spoofing' wordt genoemd.

Het lek werd ontdekt door Kristof Philipsen, een beveiligingsmedewerker bij het bedrijf Ubizen Luxembourg. Volgens hem is het gebruik van de ISN ook nog eens niet willekeurig genoeg. "Een zwakte in het aanmaken van deze ISN's kan een aanvaller de mogelijkheid geven om gemakkelijk een reeks nummers voor een bepaalde sessie te voorspellen", zegt Philipsen. Het aanmaken van ISN's wordt volgens hem bepaald door twee factoren: het poortnummer van de bron en de bestemming, en het ip-adres van de bron en de bestemming.

Het probleem doet zich voor bij acht versies van de firewall: Raptor Firewall 6.5 voor Windows NT, Raptor Firewall V6.5.3 voor Solaris, Symantec Enterprise Firewall 6.5.2 voor Windows 2000 en NT, Symantec Enterprise Firewall V7.0 voor Solaris, Symantec Enterprise Firewall 7.0 voor Windows 2000 en NT, VelociRaptor Model 500/700/1000, VelociRaptor Model 1100/1200/1300 en Symantec Gateway Security 5110/5200/5300. Symantec heeft inmiddels een patch voor het lek uitgebracht. Lees meer artikels over : symantec, raptor, firewall

bron: ZDNet