El conjunt de protocols TCP / IP, Desenvolupat sota el patrocini de el Departament de Defensa dels Estats Units, ha generat problemes de seguretat inherents a el disseny de l'protocol o la majoria de les implementacions de TCP / IP.
Ja que s'ha donat a conèixer que hackers utilitzen aquestes vulnerabilitats per a realitzar diversos atacs en els sistemes. Els problemes típics que s'exploten en el conjunt de protocols TCP / IP són la falsificació d'IP, l'escaneig de ports i les denegacions de servei.
Els investigadors de Netflix han descobert 4 falles que podrien causar estralls en els centres de dades. Aquestes vulnerabilitats s'han descobert recentment en els sistemes operatius Linux i FreeBSD. Permeten als hackers bloquejar servidors i interrompre les comunicacions remotes.
Sobre els errors trobats
La vulnerabilitat més greu, anomenada SACK Panic, pot ser explotada mitjançant l'enviament d'una seqüència selectiva de reconeixement de TCP específicament dissenyada per un ordinador o per a un servidor vulnerable.
El sistema reaccionarà col·lapsant o ingressant en Kernel Panic. L'explotació reeixida d'aquesta vulnerabilitat, identificada com CVE-2019-11477, resulta en una denegació de servei remota.
Els atacs de denegació de servei intenten consumir tots els recursos crítics d'un sistema de destinació o la xarxa perquè no estiguin disponibles per a l'ús normal. Els atacs de denegació de servei es consideren un risc important perquè poden interrompre fàcilment el funcionament d'una empresa i són relativament simples de realitzar.
Una segona vulnerabilitat també funciona a l'enviar una sèrie de SACK maliciosos (Paquets de confirmació maliciosos) que consumeixen els recursos informàtics de sistema vulnerable. Les operacions normalment funcionen fragmentant una cua per a la retransmissió de paquets TCP.
L'explotació d'aquesta vulnerabilitat, rastrejada com CVE-2019-11478, degrada greument el rendiment de sistema i pot potencialment causar una denegació de servei completa.
Aquestes dues vulnerabilitats exploten la forma en què els sistemes operatius manegen el Reconeixement selectiu de TCP esmentat anteriorment (SACK abreujat).
SACK és un mecanisme que permet que un ordinador d'el destinatari d'una comunicació li digui a l'remitent quins segments s'han enviat amb èxit, de manera que es puguin tornar els que s'han perdut. Les vulnerabilitats funcionen a l'desbordar una cua que emmagatzema els paquets rebuts.
La tercera vulnerabilitat, descoberta en FreeBSD 12 i identificant CVE-2019-5599, funciona de la mateixa manera que CVE-2019-11478, però interactua amb la targeta d'enviament RACK d'aquest sistema operatiu.
Una quarta vulnerabilitat, CVE-2019-11479., Pot alentir els sistemes afectats a l'reduir la mida màxima de segment per a una connexió TCP.
Aquesta configuració obliga els sistemes vulnerables a enviar respostes a través de múltiples segments TCP, cadascun dels quals conté només 8 bytes de dades.
Les vulnerabilitats fan que el sistema consumeixi grans quantitats d'ample de banda i recursos per degradar el rendiment de el sistema.
Les variants abans esmentades d'atacs de denegació de servei inclouen inundacions ICMP o UDP, Que poden alentir les operacions de la xarxa.
Aquests atacs fan que la víctima utilitzi recursos com l'ample de banda i els memòria intermèdia de el sistema per respondre a les sol·licituds d'atac a costa de les sol·licituds vàlides.
Els investigadors de Netflix van descobrir aquestes vulnerabilitats i les van anunciar públicament des de ja fa diversos dies.
Les distribucions de Linux han llançat pegats per aquestes vulnerabilitats o tenen alguns paràmetres de configuració realment útils que els mitiguen.
Les solucions consisteixen en bloquejar les connexions amb una mida de segment màxim (MSS) sota, desactivar el processament SACK o desactivar ràpidament la pila TCP RACK.
Aquests paràmetres es poden interrompre les connexions autèntiques i, en cas que la pila TCP RACK estigui desactivada, un atacant podria causar un costós encadenament de la llista vinculada per als SACK subsegüents adquirits per a una connexió TCP similar.
Finalment, recordem que el conjunt de protocols TCP / IP ha estat dissenyat per funcionar en un entorn fiable.
El model s'ha desenvolupat com un conjunt de protocols flexibles i tolerants a falles que són prou robustos per evitar falles en cas d'una o més falles de node.