Un error de implementación del cortafuegos FireWall-1, de la empresa Check Point, permite que una máquina con servidor FTP, protegida tras este cortafuegos, sea vulnerable a todo tipo de accesos.
FireWall-1 es lo que se denomina un «stateful packet firewall» (cortafuegos de paquetes, con estado). Este tipo de cortafuegos abren y cierran ventanas de comunicación observando el tráfico en tiempo real, de forma dinámica.
Dadas las complejidades del protocolo FTP, un servidor FTP protegido tras un cortafuegos FW-1 aceptará comandos «PASV» por parte de sus usuarios, para permitir que estos atraviesen su propio cortafuegos, de existir. El comando «PASV» tiene como respuesta que el servidor FTP
Abra un puerto local libre y acepte conexiones del cliente en él. Ya que existe al menos un cortafuegos intermedio que puede bloquear esa conexión a un puerto «arbitrario», es necesario que los cortafuegos que lo permitan «rastreen» la comunicación y admitan conexiones al puerto especificado por el servidor FTP.
Hasta aqu¡ todo correcto.
El problema con FW-1 es la forma que tiene de detectar la apertura de puertos en el servidor FTP que protege: sencillamente busca la cadena «227 » al principio de cada paquete que env¡a el servidor FTP, ya que «227 » es la respuesta al comando «PASV». Lamentablemente, existen circunstancias en las que se puede encontrar un «227 » al principio de un paquete; por ejemplo forzando la fragmentaci¢n de una respuesta del servidor FTP empleando t’cnicas de modulaci¢n de MTU (Maximun Transfer Unit – Unidad M xima de Transferencia) y MSS (Maximum Segment Size – Tama_o M ximo de Segmento).
A efectos pr cticos, ello supone que un atacante con las herramientas adecuadas (que no dudamos que est’n disponibles para la comunidad UnderGround de forma inminente) puede acceder a casi cualquier puerto
de un servidor FTP protegido con FW-1.
El problema afecta tanto a la versi¢n 3.0 como a la versi¢n 4.0, aunque en ‘ste oltimo caso las posibilidades para el ataque est n m s constre_idas. En el caso de la versi¢n 3.0, un servidor FTP tras FW-1 est absolutamente desprotegido, a todos los efectos.
Check Point ha publicado un «parche» para la oltima versi¢n de su cortafuegos. El parche, no obstante, parece no cubrir todas las ramificaciones del ataque original, por lo que los usuarios siguen siendo vulnerables. El problema para Check Point se complica aon m s
por el hecho de que algunos de los servidores FTP m s empleados no cumplen el est ndar FTP en todos sus t’rminos.
M s Informaci¢n:
Checkpoint FireWall-1 FTP Server Vulnerability
http://www.securityfocus.com/vdb/bottom.html?vid=979
Check Point Software
http://www.checkpoint.com/
Passive FTP Vulnerability
http://www.checkpoint.com/techsupport/alerts/pasvftp.html
File Transfer Protocol
ftp://ftp.rediris.es/docs/rfc/9xx/959
FTP Security Extensions
ftp://ftp.rediris.es/docs/rfc/22xx/2228
Internationalization of the File Transfer Protocol
ftp://ftp.rediris.es/docs/rfc/26xx/2640
Jesos Cea Avi¢n
jcea@hispasec.com
