Die TCP / IP-Protokollsuite, entwickelt unter der Schirmherrschaft des US-Verteidigungsministeriums, hat inhärente Sicherheitsprobleme erzeugt zum Protokolldesign oder zu den meisten TCP / IP-Implementierungen.
Da sich herausgestellt hat, dass Hacker diese Schwachstellen nutzen verschiedene Angriffe auf Systeme durchzuführen. Typische Probleme, die in der TCP / IP-Protokollsuite ausgenutzt werden, sind IP-Spoofing, Port-Scanning und Denial-of-Service.
Die Netflix-Forscher haben 4 Mängel entdeckt das könnte in Rechenzentren Chaos anrichten. Diese Sicherheitslücken wurden kürzlich in Linux- und FreeBSD-Betriebssystemen entdeckt. Sie ermöglichen es Hackern, Server zu sperren und die Remotekommunikation zu stören.
Über die gefundenen Fehler
Die schwerwiegendste Sicherheitslücke, genannt SACK Panic kann durch Senden einer selektiven TCP-Bestätigungssequenz ausgenutzt werden speziell für einen anfälligen Computer oder Server entwickelt.
Das System reagiert, indem es abstürzt oder in die Kernel-Panik eintritt. Die erfolgreiche Ausnutzung dieser als CVE-2019-11477 identifizierten Sicherheitsanfälligkeit führt zu einem Remote-Denial-of-Service.
Denial-of-Service-Angriffe versuchen, alle kritischen Ressourcen auf einem Zielsystem oder Netzwerk zu verbrauchen, sodass sie nicht für den normalen Gebrauch verfügbar sind. Denial-of-Service-Angriffe werden als erhebliches Risiko angesehen, da sie ein Unternehmen leicht stören können und relativ einfach durchzuführen sind.
Eine zweite Sicherheitsanfälligkeit besteht auch darin, eine Reihe bösartiger SACKs zu senden (böswillige Bestätigungspakete), die die Computerressourcen des anfälligen Systems verbrauchen. Die Operationen funktionieren normalerweise durch Fragmentieren einer Warteschlange für die erneute Übertragung von TCP-Paketen.
Ausnutzung dieser Sicherheitsanfälligkeit, verfolgt als CVE-2019-11478, Dies beeinträchtigt die Systemleistung erheblich und kann möglicherweise zu einem vollständigen Denial-of-Service führen.
Diese beiden Sicherheitsanfälligkeiten nutzen die Art und Weise aus, wie Betriebssysteme mit dem oben genannten Selective TCP Awareness (kurz SACK) umgehen.
SACK ist ein Mechanismus, mit dem der Computer eines Kommunikationsempfängers dem Absender mitteilen kann, welche Segmente erfolgreich gesendet wurden, sodass die verlorenen Segmente zurückgegeben werden können. Die Sicherheitsanfälligkeiten überlaufen eine Warteschlange, in der empfangene Pakete gespeichert werden.
Die dritte Sicherheitsanfälligkeit, die in FreeBSD 12 entdeckt wurde und Identifizieren von CVE-2019-5599, Es funktioniert genauso wie CVE-2019-11478, interagiert jedoch mit der RACK-Sendekarte dieses Betriebssystems.
Eine vierte Sicherheitsanfälligkeit, CVE-2019-11479., Kann betroffene Systeme verlangsamen, indem die maximale Segmentgröße für eine TCP-Verbindung verringert wird.
Diese Konfiguration zwingt anfällige Systeme, Antworten über mehrere TCP-Segmente zu senden, von denen jedes nur 8 Datenbytes enthält.
Die Sicherheitsanfälligkeiten führen dazu, dass das System viel Bandbreite und Ressourcen verbraucht, um die Systemleistung zu beeinträchtigen.
Die oben genannten Varianten von Denial-of-Service-Angriffen umfassen ICMP- oder UDP-Floods, was den Netzwerkbetrieb verlangsamen kann.
Diese Angriffe führen dazu, dass das Opfer Ressourcen wie Bandbreite und Systempuffer verwendet, um auf Angriffsanforderungen auf Kosten gültiger Anforderungen zu reagieren.
Netflix-Forscher entdeckten diese Sicherheitslücken und sie kündigten sie mehrere Tage lang öffentlich an.
Linux-Distributionen haben Patches für diese Sicherheitsanfälligkeiten veröffentlicht oder einige wirklich nützliche Konfigurationsänderungen vorgenommen, die sie mindern.
Die Lösungen bestehen darin, Verbindungen mit einer niedrigen maximalen Segmentgröße (MSS) zu blockieren, die SACK-Verarbeitung zu deaktivieren oder den TCP-RACK-Stapel schnell zu deaktivieren.
Diese Einstellungen können authentische Verbindungen stören. Wenn der TCP-RACK-Stapel deaktiviert ist, kann ein Angreifer eine kostspielige Verkettung der verknüpften Liste für nachfolgende SACKs verursachen, die für eine ähnliche TCP-Verbindung erworben wurden.
Denken Sie abschließend daran, dass die TCP / IP-Protokollsuite so konzipiert wurde, dass sie in einer zuverlässigen Umgebung funktioniert.
Das Modell wurde als flexibler, fehlertoleranter Satz von Protokollen entwickelt, die robust genug sind, um einen Ausfall bei einem oder mehreren Knotenausfällen zu vermeiden.