Falla TCP, a rischio l'intera rete

I ricercatori svedesi Jack C. Louis e Robert E. Lee, entrambi impiegati presso la società di sicurezza Outpost24, hanno recentemente scoperto una vulnerabilità insita nello stack TCP, attraverso la quale risulta possibile condurre attacchi di tipo Denial of Service. La vulnerabilità risulta particolarmente allarmante in quanto non risparmierebbe nessun sistema operativo e renderebbe inutilizzabili i bersagli dell’attacco, costringendo ad un reboot per poter ripristinare il loro funzionamento. Al momento non esiste nessuna patch o workaround in grado di ovviare al problema; tuttavia la problematica è sotto esame da parte di alcuni vendor ed enti deputati alla sicurezza.

La scoperta è venuta alla luce grazie all’utilizzo di UnicornScan, un port scanner creato dai due ricercatori e utilizzato come tester da parte del team di Outpost24. E’ stato proprio il test dello stack TCP a mostrare strane anomalie: «Jack ha riscontrato strane anomalie, con macchine che in alcune circostanze smettevano di funzionare durante la scansione», ha riferito Lee a CNET News. Il duo ha sperimentato una perdita di pacchetti nel caso di una reiterata scansione da parte del programma, con un conseguente denial of service (DoS) delle macchine target. Allo scopo di esaminare il fenomeno più da vicino, Lee e Louis hanno quindi creato un nuovo programma chiamato “sockstress“, incaricato di effettuare intenzionalmente operazioni errate al momento di stabilire una connessione TCP; il risultato è stato un attacco di tipo DoS.

La falla coinvolgerebbe tutti i sistemi operativi, anche se con reazioni differenti, e sarebbe presente all’interno di tutte le singole implementazioni dello stack TCP. Dopo l’attacco, molti sistemi risultano completamente bloccati, richiedendo un riavvio del sistema: «Dopo l’attacco il sistema non sembra in grado di ristabilirsi, richiedendo un reboot», ha dichiarato Robert Lee.

La notizia è stata accolta nell’ambiente con non poco clamore, unito tuttavia ad una certa dose di scetticismo; la documentazione del duo appare comunque completa e credibile, motivo per cui molti vendor hanno deciso di indagare sul problema. Secondo quanto riportato da Robert E. Lee all’interno del suo blog, la problematica sarebbe ora sotto esame da parte del CERT-FI (Finnish national Computer Emergency Response Team), ente incaricato a promuovere la sicurezza a livello informatico.