TCP / IP-protokolpakken, udviklet under protektion fra det amerikanske forsvarsministerium, har genereret iboende sikkerhedsproblemer til protokoldesignet eller til de fleste TCP / IP-implementeringer.
Da det er blevet afsløret, at hackere bruger disse sårbarheder at udføre forskellige angreb på systemer. Typiske problemer, der udnyttes i TCP / IP-pakken med protokoller, er IP-spoofing, portscanning og tjenestenekt.
masse Netflix-forskere har opdaget 4 fejl der kan skabe kaos i datacentre. Disse sårbarheder er for nylig blevet opdaget i Linux- og FreeBSD-operativsystemer. De giver hackere mulighed for at låse servere ned og forstyrre fjernkommunikation.
Om de fundne bugs
Den mest alvorlige sårbarhed, kaldet SACK Panic, kan udnyttes ved at sende en selektiv TCP-bekræftelsessekvens specielt designet til en sårbar computer eller server.
Systemet reagerer ved at gå ned eller gå ind i kernepanikken. Vellykket udnyttelse af denne sårbarhed, identificeret som CVE-2019-11477, resulterer i en fjern tjenestenekt.
Denial of service-angreb forsøger at forbruge alle kritiske ressourcer på et målsystem eller netværk, så de ikke er tilgængelige til normal brug. Denial of service-angreb betragtes som en betydelig risiko, fordi de let kan forstyrre en virksomhed og er relativt enkle at udføre.
En anden sårbarhed fungerer også ved at sende en række ondsindede SACKs (ondsindede bekræftelsespakker), der forbruger computerressourcerne i det sårbare system. Operationerne fungerer normalt ved at fragmentere en kø til retransmission af TCP-pakker.
Udnyttelse af denne sårbarhed spores som CVE-2019-11478, nedbryder systemets ydeevne alvorligt og kan muligvis medføre en fuldstændig denial of service.
Disse to sårbarheder udnytter den måde, hvorpå operativsystemer håndterer ovennævnte Selective TCP Awareness (SACK for kort).
SACK er en mekanisme, der gør det muligt for en kommunikationsmodtagerens computer at fortælle afsenderen, hvilke segmenter der er sendt med succes, så de mistede kan returneres. Sårbarhederne fungerer ved at oversvømme en kø, der gemmer modtagne pakker.
Den tredje sårbarhed, opdaget i FreeBSD 12 og identificering af CVE-2019-5599, Det fungerer på samme måde som CVE-2019-11478, men det interagerer med RACK-sendekortet til dette operativsystem.
En fjerde sårbarhed, CVE-2019-11479., Kan bremse berørte systemer ved at reducere den maksimale segmentstørrelse for en TCP-forbindelse.
Denne konfiguration tvinger sårbare systemer til at sende svar over flere TCP-segmenter, som hver kun indeholder 8 bytes data.
Sårbarhederne får systemet til at forbruge store mængder båndbredde og ressourcer til at forringe systemets ydeevne.
De ovennævnte varianter af denial of service-angreb inkluderer ICMP- eller UDP-oversvømmelser, som kan bremse netværksdriften.
Disse angreb får offeret til at bruge ressourcer såsom båndbredde og systembuffere til at svare på angrebsanmodninger på bekostning af gyldige anmodninger.
Netflix-forskere opdagede disse sårbarheder og de annoncerede dem offentligt i flere dage.
Linux-distributioner har frigivet patches til disse sårbarheder eller har nogle virkelig nyttige konfigurationstilpasninger, der mildner dem.
Løsningerne er at blokere forbindelser med lav maksimal segmentstørrelse (MSS), deaktivere SACK-behandling eller hurtigt deaktivere TCP RACK-stakken.
Disse indstillinger kan forstyrre autentiske forbindelser, og hvis TCP RACK-stakken er deaktiveret, kan en angriber forårsage dyr kæde af den sammenkædede liste til efterfølgende SACK'er, der er erhvervet til en lignende TCP-forbindelse.
Lad os endelig huske, at TCP / IP-protokolpakken er designet til at fungere i et pålideligt miljø.
Modellen er udviklet som et sæt fleksible, fejltolerante protokoller, der er robuste nok til at undgå fejl i tilfælde af en eller flere knudepunkter.