home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / nmap-DoS-2.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  7.3 KB
  1. Date: Wed, 23 Dec 1998 09:31:23 -0500
  2. From: Richard Reiner <rreiner@FSCINTERNET.COM>
  3. Reply-To: Bugtraq List <BUGTRAQ@netspace.org>
  4. To: BUGTRAQ@netspace.org
  5. Subject: [SecureXpert Labs Advisory SX-98.12.23-01] Widespread DoS              vulnerability
  6.  
  7. SecureXpert Labs Advisory SX-98.12.23-01
  8.  
  9. Widespread DoS vulnerability can crash systems or disable critical services
  10.  
  11. Reported by: SecureXpert Labs
  12. (with additional information from the Bugtraq & FreeBSD Security mailing
  13. lists)
  14.  
  15.  
  16. WARNING: this item is based on early analysis and additional field
  17. reports.  The subject matter is still the subject of active research by
  18. SecureXpert Labs and others.  Due to the broad scope of the vulnerability
  19. described and its active exploitation on the Internet, this early
  20. information release is being made.
  21.  
  22.  
  23. Summary
  24.  
  25. A popular security tool called "nmap" can generate unusual network traffic,
  26. which can be exploited to generate a wide variety of failures and crashes
  27. on numerous operating systems.
  28.  
  29. Note: this family of vulnerabilities is NOT the same as that described in
  30. CERT Advisory CA-98.13 - TCP/IP Denial of Service.  CERT CA-98.13 refers to
  31. a fragmentation-related bug in some IP stacks.  The DoS vulnerabilities
  32. described herein are not fragmentation related.
  33.  
  34.  
  35. Description
  36.  
  37. The port scanner tool nmap has "stealth scanning" capabilities, designed to
  38. avoid notice by Intrusion Detection systems.  When these are used, nmap
  39. generates several types of unusual IP packets (e.g. unexpected FIN packets,
  40. "Christmas Tree" packets, etc.), and unusual sequences of packets (e.g. TCP
  41. connection setup with a SYN packet immediately followed by RST).  Nmap is
  42. widely available (http://www.insecure.org/nmap).  Built-in functionality in
  43. nmap allows it to be used to target large numbers of systems
  44. simultaneously.
  45.  
  46. SecureXpert Labs has determined that nmap's "half-open" scanning mode
  47. ('nmap -sS') disables inetd on a number of operating systems, including
  48. certain Solaris versions (including 2.6) and some versions of Linux.  Work
  49. at SecureXpert Labs has also demonstrated that this scanning mode also
  50. causes Microsoft Windows 98 to display a critical error ("Blue Screen"),
  51. subsequent to which the Windows 98 workstation loses all network
  52. connectivity.
  53.  
  54. Independent reports also indicate that nmap scanning can cause similar
  55. failure of inetd on several additional operating systems, including HP-UX,
  56. AIX, SCO, and FreeBSD.  Further reports indicate that the RPC portmapper
  57. may be affected on some systems.  Additional reports indicate also that a
  58. different nmap scanning mode (UDP scanning with 'nmap -sU') crashes Cisco
  59. IOS version 12.0 (including 12.0T, 12.0S, etc.). It has also been reported
  60. that nmap with certain options can cause NeXTStep 3.3 systems to panic and
  61. reboot.
  62.  
  63. Tests by SecureXpert Labs have confirmed the vulnerability of Solaris 2.6
  64. and what appears to be a small number of older Linux versions. Cisco
  65. Systems has confirmed the Cisco IOS vulnerability. The FreeBSD, HP-UX, AIX,
  66. SCO, and NeXTStep reports have not yet been corroborated.
  67.  
  68. The nature of this vulnerability leads SecureXpert Labs to believe that
  69. additional operating systems may also be vulnerable.
  70.  
  71. At this stage in SecureXpert Labs' investigations, it appears that several
  72. of these attacks leave no trace in system logs, unless external Intrusion
  73. Detection systems are in place.
  74.  
  75. SecureXpert Labs has notified the vendors of affected systems, and is
  76. working with them on further testing, fault isolation, and remediation.
  77.  
  78.  
  79. Risks
  80.  
  81. a. Denial of Service through inetd failure
  82. Remote attackers can disable critical server processes on affected systems.
  83. Failure of the inetd process will commonly disable all ftp and telnet
  84. access to a system, as well as other services such as rlogin and rsh.  In
  85. some less common cases, failure of inetd can disable processes such as
  86. BOOTP servers, Web servers, Radius or other authentication servers, etc.
  87.  
  88. b. Denial of Service through portmapper failure
  89. Remote attackers can disabled critical servers on affected systems.
  90. Failure of the portmapper process will commonly disable NFS and NIS
  91. services, as well as other services on some systems.
  92.  
  93. c. Denial of Service through kernel panics, hangs, and crashes
  94. If reports that nmap can cause kernel panics, hangs, or crashes are
  95. confirmed, all services on affected servers can be disabled by remote
  96. attackers.
  97.  
  98.  
  99. Vulnerable versions
  100.  
  101. Further details on affected systems and versions will be provided as more
  102. information become available.
  103.  
  104.  
  105. Actions
  106.  
  107. a. Determine if your systems are vulnerable, ether through your own testing
  108. with nmap or through the user of an external audit firm. (nmap is available
  109. >from http://www.insecure.org/nmap/)
  110.  
  111. b. Install vendor patches as they become available
  112.  
  113. c. In the short term, critical systems can be defended through application
  114. proxies (or, in some cases, multi-level filters) deployed on non-vulnerable
  115. firewall platforms.
  116.  
  117. ---------------------------------------------------------------------------
  118.  
  119. Date: Thu, 24 Dec 1998 11:38:07 -0500
  120. From: Jordan Ritter <jpr5@DARKRIDGE.COM>
  121. Reply-To: Bugtraq List <BUGTRAQ@netspace.org>
  122. To: BUGTRAQ@netspace.org
  123. Subject: Re: [SecureXpert Labs Advisory SX-98.12.23-01] Widespread DoS
  124.  
  125. Richard Reiner (rreiner@FSCINTERNET.COM) wrote:
  126.  
  127. > WARNING: this item is based on early analysis and additional field
  128. > reports.  The subject matter is still the subject of active research
  129. > by SecureXpert Labs and others.  Due to the broad scope of the
  130. > vulnerability described and its active exploitation on the Internet,
  131. > this early information release is being made.
  132.  
  133. I would *hardly* call this an "early information release":
  134.  
  135. http://geek-girl.com/bugtraq/1997_4/0398.html
  136. http://geek-girl.com/bugtraq/1998_1/0507.html
  137. http://geek-girl.com/bugtraq/1998_2/0037.html
  138. http://geek-girl.com/bugtraq/1998_2/0055.html
  139.  
  140. Even aleph1 responds:
  141.  
  142. http://geek-girl.com/bugtraq/1997_4/0401.html
  143.  
  144.  
  145. Jordan Ritter
  146. Network Security Engineer                        Systems Administrator
  147. Ring-Zero, Netect, Inc.  Boston, MA       Darkridge Security Solutions
  148.  
  149. ---------------------------------------------------------------------------
  150.  
  151. Date: Thu, 24 Dec 1998 17:07:36 -0800
  152. From: Aleph One <aleph1@UNDERGROUND.ORG>
  153. Reply-To: Bugtraq List <BUGTRAQ@netspace.org>
  154. To: BUGTRAQ@netspace.org
  155. Subject: Network Scan Vulnerability [SUMMARY]
  156.  
  157. This is a summary of the reports on nmap crashing inetd's and some
  158. operating systems. As mentioned elsewhere, as opposed to what SecureXpert
  159. Labs seems to think, this is a rather old issue that appears every
  160. once in a while.
  161.  
  162. The reports:
  163.  
  164. xinetd on FreeBSD 2.2.7 does not crash when scanned with nmap -sT.
  165. Solaris versions earlier than Solaris 7 are affected.
  166. Irix 5.3, 6.2, 6.3 inetd's dies by nmap-1.51 with -vv
  167. Irix 6.5SE inetd's die with nmap-1.51 -F
  168. SunOS 4.1.3 reboots when scanned by nmap-1.51 with -vv.
  169. UNICOS 10 inetd's *may* die when scanned by nmap-1.51 -F.
  170. No can can seem to crash Windows 98 as reported by SecureXpert Labs.
  171. OpenBSD 2.4 seems fine.
  172.  
  173. If anyone can get Windows 98 to crash please let me know as this was
  174. really the only *new* information in the SecureXpert advisory.
  175.  
  176. Thanks to:
  177.  
  178. Joe  Shaw <jshaw@insync.net>
  179. "HD Moore" <hdmoore@usa.net>
  180. Kameron Gasso <krg@lockdown.net>
  181. "Richard Johnson" <rdump@river.com>
  182. Philipp Schott <schott@uni-freiburg.de>
  183. Alla Bezroutchko <alla@sovlink.ru>
  184.  
  185. --
  186. Aleph One / aleph1@underground.org
  187. http://underground.org/
  188. KeyID 1024/948FD6B5
  189. Fingerprint EE C9 E8 AA CB AF 09 61  8C 39 EA 47 A8 6A B8 01
  190.