보안솔루션, 보안컨설팅의 최강자! 종합보안회사 시큐아이


	English

◀◁ 뒤로

취약점ID	13018
위험도	20
포트
프로토콜	TCP
분류	Protocol
상세설명	해당 호스트는 TCP Sequence 번호 유추 취약점에 취약한 것으로 나타난다. 이는 원격지의 공격자가 위조된 TCP RST 패킷들을 영향을 받는 호스트로 보내, 맺어져 있는 TCP 세션들을 끊어 버릴 수 있게 해 줄 수 있다. TCP (Transmission Control Protocol)는 데이터 스트림에 대한 신뢰성 있는 연결 지향형 통신을 제공해 줄 수 있도록 고안된 전송계층 프로토콜이다. 이를 위해 TCP는 한 묶음의 상태를 나타내는 플래그(Flag)들과 패킷들이 재조립될 수 있도록 순서식별을 위한 시퀀스(Sequence) 번호를 사용한다. TCP는 또한 인지번호(Acknowledgement Number)라 불리는 숫자를 제공하는데 이는 예상되는 다음 패킷의 시퀀스 번호를 나타내는데 사용된다. 패킷들은 다음 패킷의 시퀀스 번호들이 ("window"라 불리는) 인지번호의 범위 내에만 있다면 수신 TCP 구현에 의해 재조립된다. 리셋(Reset)에서는 응답 패킷이 필요하지 않으므로 인지번호는 리셋 (RST) 플래그를 설정한 패킷에는 사용되지 않는다. 취약점의 원인은 영향을 받는 구현들이 세션 상의 특정 패킷에 대해 예상되는 시퀀스 번호가 일정 범위내의 TCP 시퀀스 번호들을 받아들인다는 데에 있다. 이것은 원격지의 공격자가 SYN 혹은 RST 패킷을 세션 속으로 삽입해 넣을 수 있다는 것이다. 결과적으로 그 세션을 리셋을 시키고 효과적인 서비스 거부 공격들이 가능해 진다. 공격자는 유추된 시퀀스 번호와 위조된 출발지 IP 및 TCP 포트를 가진 어떤 패킷을 수신 호스트로 보냄으로써 이 문제를 도용할 수 있다. 장시간의 TCP 접속을 요구(BGP, VPN over TCP, 등)하면서 출발지 및 목적지 IP 주소들과 TCP 포트들이 알려져 있거나 쉽게 추측 가능한 서비스들은 적어도 서비스 거부 공격들에 취약하다고 할 수 있다. * 참고 사이트: http://www.osvdb.org/4030 http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-nonios.shtml http://www.us-cert.gov/cas/techalerts/TA04-111A.html http://www.linuxsecurity.com/advisories/netbsd_advisory-4268.html http://archives.neohapsis.com/archives/bugtraq/2004-04/0274.html * 영향을 받는 플랫폼: 영속적인 TCP 연결을 요구하는 응용들 모든 운영체제 모든 버전
해결책	Microsoft Windows 플랫폼들의 경우: 다음 마이크로소프트 보안 게시물 MS05-019를 참조하여 취약한 시스템에 대한 적절한 패치를 적용한다: http://www.microsoft.com/technet/security/bulletin/ms05-019.mspx 기타: 제조업체별 정보에 대해서는 CERT의 Vulnerability Note VU#415294 ( http://www.kb.cert.org/vuls/id/415294#systems )을 참조하라. 만약 특정 벤더가 CERT vulnerability note에 올라와 있지 않다면 해당 제조업체에 직접 문의할 것을 권고한다. BGP 구현들에 대해서는, RFC-2385 (BGP TCP MD5 Signatures)를 구현할 것을 강력하게 권고한다. Secure BGP 설정 절차들은 Cisco 그리고 Juniper에 대해서 제공된다: http://www.cymru.com/Documents/secure-bgp-template.html 임시 조치방법으로 이 문제의 영향을 최소화하기 위하여 비인가된 패킷들이나 요청들을 차단하기 위한 방법으로 라우터 상에서 선택적 필터링(Filtering)을 위한 ACL(접근 제어 리스트)을 사용할 수 있다.
관련 URL	CVE-2004-0230 (CVE)
관련 URL	10183 (SecurityFocus)
관련 URL	15886 (ISS)