Algunos de los firewalls más comunes son vulnerables a un mismo exploit
Posted: 15/4/11 by komz in Etiquetas: Agujero de seguridad, firewall, TCP Split Handshake AttackMuchos de los firewalls más comúnmente utilizados son vulnerables a un exploit que permite a los atacantes “engañarles” para entrar en las redes internas de las empresas como si se tratara de conexiones IP de confianza.
Recientemente NSS Lab ha probado media docena de firewalls de red para comprobar sus vulnerabilidades, y todos excepto uno de ellos eran vulnerables a un tipo de ataque denominado “TCP Split Handshake Attack”, que permite a los hackers conectarse en remoto y hacer que el cortafuegos les permitan la entrada como si se tratara de una conexión IP digna de confianza.
“Si el firewall interpreta así la conexión, la política de seguridad que aplicará al hacker será la misma que a un usuario interno, por lo que éste podrá escanear dónde se encuentran las máquinas”, explica Rick Moy, presidente de NSS Labs. Después el atacante podrá moverse bastante a sus anchas por la red, dado que el firewall ha considerado erróneamente la dirección IP como si se tratara de una dirección legítima.
En las pruebas que han llevado a la compañía a estas conclusiones, la firma de análisis independiente NSS Labs comparó el comportamiento de los firewalls Check Point Power-1 11065, Cisco ASA 5585-40, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020 y SonicWall NSA E8500.
“De los seis productos probados, cinco permitieron que atacantes externos consiguieran engañar al firewall para que los tratara como máquinas internas autorizadas”, según NSS Labs. El único que paró estas entradas fue el firewall de Check Point.
NSS LABS REMEDY.
URL.
http://blogs.cisco.com/security/cisco-investigation-for-tcp-split-handshake-issue-reported-by-nss/
http://nmap.org/misc/split-handshake.pdf
fuente: csospain.es