绿盟安全月刊->第37期->最新漏洞 NetScreen可预测TCP初始化序列号漏洞

日期：2002-12-02

发布日期：2002-11-25
更新日期：2002-12-02

受影响系统：
NetScreen ScreenOS 4.0
NetScreen ScreenOS 3.1.0
NetScreen ScreenOS 3.0.0
NetScreen ScreenOS 2.8
NetScreen ScreenOS 2.6
NetScreen ScreenOS 1.7
不受影响系统：
NetScreen ScreenOS 4.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 6249

Netscreen是一款处理防火墙安全解决方案，实现线速数据包处理能力。

ScreenOS生成TCP初始化序列号的算法存在漏洞，远程攻击者可以利用这个漏洞进行典型的IP欺骗攻击，未授权访问系统服务，绕过某些验证安全策略。

ScreenOS生成TCP初始化序列号的算法存在问题可导致序列号可预测，使用可预测的TCP ISN和IP欺骗，可以用来访问TCP应用程序或者未授权访问基于IP地址访问的服务。

此漏洞可以在NetScreen设备本身的TCP连接上利用，也可以利用在需要匹配策略来验证的TCP连接。当NetScreen设备执行SYN proxying代理保护主机时，通过SYN-FLOOD保护的两个主间通信也可能被利用。

这个漏洞不能在基于IPSEC，SSH加密的通信中利用，或者不能对使用对通信修改能够探测的机制进行利用。

<*来源：NetScreen Security Alert
  
  链接：http://www.netscreen.com/support/alerts/Predictable_TCP_Initial_Sequence_Numbers.html
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 配置只允许使用对通信修改能够探测的协议(IPSEC,SSH,SSL等)通过防火墙。

* 关闭或者调整syn-flood保护相关参数以降低漏洞危险性。

厂商补丁：

NetScreen
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

NetScreen Upgrade ScreenOS 4.0.1
http://www.netscreen.com/support/updates.asp