مجموعة بروتوكولات TCP / IP، التي تم تطويرها تحت رعاية وزارة دفاع الولايات المتحدة ، تسببت في حدوث مشكلات أمنية متأصلة لتصميم البروتوكول أو لمعظم تطبيقات TCP / IP.
منذ أن تم الكشف عن أن المتسللين يستخدمون هذه الثغرات الأمنية لتنفيذ هجمات مختلفة على الأنظمة. المشاكل النموذجية التي يتم استغلالها في مجموعة بروتوكولات TCP / IP هي انتحال IP ومسح المنافذ ورفض الخدمة.
الكثير اكتشف باحثو Netflix 4 عيوب يمكن أن يعيث فسادًا في مراكز البيانات. تم اكتشاف نقاط الضعف هذه مؤخرًا في أنظمة التشغيل Linux و FreeBSD. أنها تسمح للقراصنة بإغلاق الخوادم وتعطيل الاتصالات عن بعد.
وجدت حول البق
أخطر نقطة ضعف تسمى يمكن استغلال SACK Panic عن طريق إرسال تسلسل إقرار TCP انتقائي مصمم خصيصًا لجهاز كمبيوتر أو خادم ضعيف.
سيتفاعل النظام عن طريق تحطم أو دخول Kernel Panic. يؤدي الاستغلال الناجح لهذه الثغرة الأمنية ، التي تم تحديدها على أنها CVE-2019-11477 ، إلى رفض الخدمة عن بُعد.
تحاول هجمات رفض الخدمة استهلاك جميع الموارد الهامة على النظام أو الشبكة المستهدفة بحيث لا تكون متاحة للاستخدام العادي. تعتبر هجمات رفض الخدمة مخاطرة كبيرة لأنها يمكن أن تعطل النشاط التجاري بسهولة ويسهل تنفيذها نسبيًا.
تعمل ثغرة ثانية أيضًا عن طريق إرسال سلسلة من مجموعات SACK الخبيثة (حزم التأكيد الضارة) التي تستهلك موارد الحوسبة للنظام المعرض للخطر. تعمل العمليات عادةً عن طريق تجزئة قائمة انتظار لإعادة إرسال حزم TCP.
استغلال هذه الثغرة الأمنية ، المتتبعة كـ CVE-2019-11478 ، يؤدي إلى تدهور أداء النظام بشكل كبير ويمكن أن يتسبب في رفض كامل للخدمة.
تستغل هاتان الثغرتان الطريقة التي تتعامل بها أنظمة التشغيل مع تنبيه TCP الانتقائي المذكور أعلاه (SACK اختصارًا).
SACK هي آلية تسمح لجهاز الكمبيوتر الخاص بمستلم الاتصال بإخبار المرسل بالمقاطع التي تم إرسالها بنجاح ، بحيث يمكن إرجاع القطع المفقودة. تعمل الثغرات الأمنية من خلال تجاوز قائمة الانتظار التي تخزن الحزم المستلمة.
الثغرة الثالثة ، تم اكتشافها في FreeBSD 12 وتحديد CVE-2019-5599 ، يعمل بنفس طريقة CVE-2019-11478 ، ولكنه يتفاعل مع بطاقة إرسال RACK لنظام التشغيل هذا.
الثغرة الرابعة ، CVE-2019-11479. ، يمكن أن تبطئ الأنظمة المتأثرة عن طريق تقليل الحد الأقصى لحجم المقطع لاتصال TCP.
يفرض هذا التكوين على الأنظمة المعرضة للخطر إرسال استجابات عبر مقاطع TCP متعددة ، يحتوي كل منها على 8 بايت فقط من البيانات.
تتسبب الثغرات الأمنية في أن يستهلك النظام كميات كبيرة من النطاق الترددي والموارد لتقليل أداء النظام.
المتغيرات المذكورة أعلاه من هجمات رفض الخدمة تشمل فيضانات ICMP أو UDP، مما قد يؤدي إلى إبطاء عمليات الشبكة.
تتسبب هذه الهجمات في قيام الضحية باستخدام موارد مثل النطاق الترددي والمخازن المؤقتة للنظام للرد على طلبات الهجوم على حساب الطلبات الصالحة.
اكتشف باحثو Netflix نقاط الضعف هذه وأعلنوها علنا لعدة أيام.
أصدرت توزيعات Linux تصحيحات لهذه الثغرات الأمنية أو لديها بعض تعديلات التكوين المفيدة حقًا التي تخفف منها.
تتمثل الحلول في حظر الاتصالات ذات الحد الأقصى لحجم المقطع المنخفض (MSS) ، أو تعطيل معالجة SACK ، أو تعطيل مكدس TCP RACK بسرعة.
يمكن أن تعطل هذه الإعدادات الاتصالات الموثوقة ، وإذا تم تعطيل مكدس TCP RACK ، فقد يتسبب المهاجم في تسلسل مكلف للقائمة المرتبطة لـ SACKs اللاحقة التي تم الحصول عليها لاتصال TCP مماثل.
أخيرًا ، لنتذكر أن مجموعة بروتوكولات TCP / IP قد تم تصميمها للعمل في بيئة موثوقة.
تم تطوير النموذج كمجموعة من البروتوكولات المرنة المتسامحة مع الأخطاء والتي تكون قوية بما يكفي لتجنب الفشل في حالة فشل عقدة واحدة أو أكثر.