Archivio » 2003 » luglio » giovedì 10 »

Buffer Overflow e replay attack in Kerio

Scritto da Guido Sintoni

Kerio Personal Firewall è un firewall (gratuito per uso personale) che deriva da Tiny Personal Firewall. CORE Security Technologies Advisories ha scoperto due vulnerabilità nell’applicazione, che la espongono al rischio di un replay attack e a un buffer overflow. Il replay attack è attuabile contro il canale per l’amministrazione remota, criptato e autenticato.

Un problema di design nel meccanismo di autenticazione per l’amministrazione remota permette ad un attaccante di rimpiazzare pacchetti sniffati da una sessione di amministrazione valida, potendo riprodurre in seguito le azioni dell’amministratore sul personal firewall.

Il processo di autenticazione è anche soggetto a un buffer overflow: quando l’amministratore si connette al firewall, avviene un handshake per stabilire una sessione cifrata. Il quarto pacchetto dell’handshake (il primo inviato dall’amministratore) contiene 4 byte; non esistendo lato firewall un controllo di lunghezza dei dati ricevuti, per l’attaccante è possibile costruire una sequenza di pacchetti in modo tale da provocare un overflow dello stack. Al momento in cui scriviamo, Kerio è stata contattata da CORE, e non ha ancora rilasciato una soluzione. Per prevenire il replay attack è consigliabile disabilitare la funzione di amministrazione remota.