Tường lửa cấp doanh nghiệp có thể bị tấn công qua TCP SYN

tuong-lua-cap-doanh-nghiep-co-the-bi-tan-cong-qua-tcp-synCác nhà nghiên cứu bảo mật đã phát hiện ra một cách để đánh bại tường lửa cấp doanh nghiệp và truyền dữ liệu trong mạng công ty ra ngoài thông qua TCP. Lỗ hổng này có tên là FireStorm.

 

 

TCP SYN được sử dụng để hút dữ liệu trong mạng doanh nghiệp

Bất cứ khi nào một kết nối TCP (Internet) bắt đầu, trước khi nội dung được trao đổi giữa các máy khách và máy chủ, cả hai sẽ thiết lập một kênh truyền thông chung bằng cách trao đổi một vài gói tin TCP SYN (đồng bộ hóa). Quá trình này được gọi là TCP handshake và là bắt buộc đối với tất cả các kết nối.

Tường lửa cho phép quá trình này diễn ra, do đó, nó có thể biết những loại kết nối nào là để bắt đầu. Nếu kết nối nguồn hoặc kết nối đích nằm trong danh sách đen trong bảng điều khiển cấu hình của tường lửa, nó sẽ chặn kết nối lại.

Trong một thí nghiệm mà các nhà nghiên cứu đã thực hiện, BugSec Group và Cynet gửi dữ liệu nhạy cảm từ một mạng tường lửa được bảo vệ đến một máy chủ bên ngoài chỉ sử dụng các gói tin TCP SYN (chưa từng thiết lập một kết nối TCP đầy đủ mà các bức tường lửa được cấu hình để chặn).

tuong-lua-cap-doanh-nghiep-co-the-bi-tan-cong-qua-tcp-syn-1

Các nhà nghiên cứu thậm chí tạo ra một công cụ đặc biệt cho phép truyền dữ liệu đầy đủ hơn TCP handshakes. Nhưng công cụ này sẽ không được phát hành, bởi nó là một bổ sung có giá trị cho lập trình viên RATs (Remote Access Trojans) và nhà điều hành botnet, cho phép họ lấy dữ liệu từ mạng an toàn mà không bị phát hiện.

Lỗ hổng này có mặt trong các sản phẩm của hầu hết các nhà cung cấp tường lửa. Các nhà nghiên cứu đã liên hệ với nhiều nhà cung cấp tường lửa bị ảnh hưởng bởi vấn đề này, nhưng hầu hết trong số họ từ chối xem xét lỗ hổng bảo mật Firestorm, và cho rằng đó là cách mà sản phẩm của họ được thiết kế để làm việc.

Các nhà nghiên cứu đang đề xuất các nhà cung cấp tường lửa ít nhất nên chặn lặp lại sự trao đổi gói tin TCP SYN giữa máy chủ và máy khách.

Theo Softpedia

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.