Firewall’larda önemli zafiyet: Kara Hemşire

Blacknurse olarak adlandırılan bir zafiyet bir çok ağda güvenliğin omurgasını oluşturan firewall’ları devre dışı bırakabiliyor. Basit bir ICMP paketinin gönderilmesi ile hedefteki sistemin işlemcisinin kapasitesi doldurulabiliyor.

Ping paketlerinden tanıdığımız ICMP (Internet Control Message Protocol – Internet Kontrol Mesajları Protokolü) sistemler arasındaki iletişimi denetlememize yardımcı oluyor. İşin aslı; bizler iki sunucu arasındaki bağlantıyı kontrol etmek için ping atarken, internet kafelerdeki genç kardeşlerimiz oyun sunucularının cevap sürelerini izlemek için kullanıyor; onlarınki daha mı zevklidir?

Blacknurse saldırısı ICMP Type 3 Code 3 (port unreachable – port erişilemez) paketleri kullanılarak yapılıyor ve test edilen firewall’ları devre dışı bırakabiliyor. ICMP Tip 3 paketlerin ping paketlerine (ICMP tip 8 – Echo) kıyasla daha fazla işlemci gücü tükettikleri için bu paketlerden çok sayıda gelmesi güvenlik duvarının diğer isteklere cevap veremeyecek hale gelmesine neden olabiliyor.

Şu anda bu zafiyetten etkilendiği bilinen güvenlik duvarları aşağıdakiler;

  • Cisco ASA 5506, 5515, 5525, 5540
  • Cisco ASA 5550 (eski sürümler) ve 5515-X (yeni nesil)
  • Cisco Router 897 (rate-limit seçeneği devrede değilse)
  • Palo Alto (ICMP Flood DoS koruması aktif değilse)
  • SonicWall
  • Zyxel NWA3560-N
  • Zyxel Zywall USG50

Saldırının etkili olmasını sağlayan önemli etkenlerden biri, basit araçlarla yapılabilmesinin dışında, saldırganın kaynak olarak bir laptop kullanarak bile başarılı olma ihtimalidir. ICMP Tip 3 kod 3 paketlerini 20 Mbps civarında bir trafikle üretebilen herhangi bir sistem bu saldırıyı başarılı bir şekilde düzenlemek için yeterlidir. Firewall’un işlemcisi hedef alındığı için de bu saldırıya karşı bant genişliğinizin ne olduğunun bir önemi yok.

Kullandığınız firewall bu listede olmasa da henüz test edilmemiş olabileceğini unutmayın. Her ihtimale karşı ICMP port unreachable mesajlarının firewall’un WAN bağlantısından gelmesini engellemenizde fayda olacaktır.

Bu açıkla ilgili aklınıza takılan bir nokta olursa; sistemlerinizi ne ölçüde etkilediğini anlamak için bazı ücretsiz test hizmetleri veriyoruz, benimle iletişime geçebilirsiniz.