La que sería una importante vulnerabilidad en el protocolo TCP (Transmission Control Protocol), ha sido revelada esta semana. La gravedad de la misma estriba en que cualquier atacante podría interrumpir a su antojo todas las conexiones realizadas entre servidores y routers, causando un gran caos en Internet.

Según el anuncio, el impacto de este fallo, puede variar entre los diversos fabricantes de routers, y del software utilizado (navegadores, programas de correo, aplicaciones P2P, mensajería instantánea, y muchos otros servicios que hacen al uso diario de Internet).

Junto a IP, TCP es uno de los protocolos fundamentales para el funcionamiento de Internet. Y aunque aún existe cierta confusión sobre los detalles del problema, la mayoría de los escenarios afectados son tremendamente críticos. En principio serían todos aquellos que utilizan conexiones de larga duración y gran ancho de banda.

Uno de los protocolos más afectados por esta vulnerabilidad en TCP, es el llamado BGP (Border Gateway Protocol), que se emplea para el intercambio de información de enrutamiento y el mantenimiento de las tablas de direcciones IP, y que hace uso intensivo de las conexiones TCP, sin utilizar ningún tipo de autenticación.

Además del protocolo BGP, otros protocolos como DNS (usado para la resolución de nombres), y todos los protocolos que utilizan cifrado SSL, también serían vulnerables.

Aunque el fallo fue descubierto a finales del año pasado, no se le dio mayor trascendencia, debido a que la posibilidad de un ataque exitoso, era de una en cuatro mil millones. Sin embargo, esta semana ha tomado estado público después que el experto en seguridad Paul Watson, afirmara haber descubierto un método para explotar esta vulnerabilidad con mucha mayor facilidad. Además, ya existen pruebas de concepto que demuestran que ello es posible. Por otra parte, el mismo experto anunció que dará más detalles sobre el tema, en la conferencia sobre seguridad llamada CanSecWest Conference, precisamente hoy jueves (22/4/04).

Casi todos coinciden en que el problema podría ser muy grande, ya que involucra a casi cualquier comunicación realizada vía Internet. No es un problema de software mal construido o con errores, sino que afecta directamente a toda tecnología que cumpla con los estándares de TCP/IP.

Básicamente, en toda conexión vía TCP, las dos partes involucradas negocian el tamaño de la llamada "ventana TCP", que indica la cantidad de paquetes enviados por vez, antes de pedirse y enviarse una autenticación. Esta ventana permite calcular a un atacante el número de paquetes falsos que podría enviar para que sean aceptados, antes de ser validados. Esta facilidad aumenta con más ancho de banda, ya que generalmente, mientras más rápidas sean las conexiones, más grande es la ventana (y se reduce el tiempo de necesidad de autenticación, o sea, se envían más paquetes en menos tiempo). Mientras más paquetes se permitan por ventana, más paquetes falsos pueden insertarse.

Al insertar un paquete falso con determinadas características, por ejemplo un paquete RST (Reset), un atacante terminaría la sesión TCP entre los dos extremos, sin permitir la posterior comunicación. Además, podrían usarse grandes cantidades de máquinas comprometidas por un gusano o un troyano (máquinas "zombies"), para generar cientos o miles de paquetes dirigidos a determinados sitios, ocasionando la misma cantidad de ataques de denegación de servicio (DoS).

Casi cualquier protocolo que se base en la utilización de conexiones TCP persistentes en el tiempo, y cuyos puertos y direcciones IP puedan ser identificados (prácticamente todos los servicios de Internet conocidos), sería vulnerable.

Muchos fabricantes de routers (Juniper y Cisco por ejemplo), ya han admitido estar afectados por el problema, y otros, como NEX, Hitachi, etc., han dicho que aun se encuentran estudiándolo.

Sin embargo, para algunos expertos, el fallo solo afectaría a las conexiones permanentes o de larga duración. De todos modos, en los próximos días, seguramente se revelarán más detalles que indicarán el verdadero alcance de esta vulnerabilidad.

Más información:

Vulnerabilidades en TCP
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-006.html

Vulnerabilidades TCP en productos Cisco
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-007.html

Multiple Vendor TCP Denial of Service Vulnerability
http://xforce.iss.net/xforce/alerts/id/170

Vulnerabilities Issues in TCP
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Vulnerabilities in TCP
http://www.us-cert.gov/cas/techalerts/TA04-111A.html