Η σουίτα πρωτοκόλλου TCP / IP, αναπτύχθηκε υπό την αιγίδα του Υπουργείου Άμυνας των Ηνωμένων Πολιτειών, έχει δημιουργήσει εγγενή ζητήματα ασφαλείας στο σχεδιασμό πρωτοκόλλου ή στις περισσότερες εφαρμογές TCP / IP.
Δεδομένου ότι έχει αποκαλυφθεί ότι οι χάκερ χρησιμοποιούν αυτές τις ευπάθειες να εκτελέσει διάφορες επιθέσεις σε συστήματα. Τα τυπικά προβλήματα που αντιμετωπίζονται στη σουίτα πρωτοκόλλων TCP / IP είναι IP spoofing, σάρωση θύρας και άρνηση υπηρεσίας.
Ο Οι ερευνητές του Netflix ανακάλυψαν 4 ελαττώματα που θα μπορούσε να καταστρέψει τα κέντρα δεδομένων. Αυτές οι ευπάθειες ανακαλύφθηκαν πρόσφατα σε λειτουργικά συστήματα Linux και FreeBSD. Επιτρέπουν στους χάκερ να κλειδώνουν διακομιστές και να διακόπτουν τις απομακρυσμένες επικοινωνίες.
Σχετικά με τα σφάλματα που βρέθηκαν
Η πιο σοβαρή ευπάθεια, που ονομάζεται Το SACK Panic, μπορεί να αξιοποιηθεί στέλνοντας μια επιλεκτική ακολουθία αναγνώρισης TCP ειδικά σχεδιασμένο για έναν ευάλωτο υπολογιστή ή διακομιστή.
Το σύστημα θα αντιδράσει με συντριβή ή είσοδο στον Πυρήνα του Πυρήνα. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας, που προσδιορίζεται ως CVE-2019-11477, οδηγεί σε απομακρυσμένη άρνηση υπηρεσίας.
Οι επιθέσεις άρνησης υπηρεσίας προσπαθούν να καταναλώσουν όλους τους κρίσιμους πόρους σε ένα σύστημα ή δίκτυο προορισμού, έτσι ώστε να μην είναι διαθέσιμα για κανονική χρήση. Οι επιθέσεις άρνησης εξυπηρέτησης θεωρούνται σημαντικοί κίνδυνοι επειδή μπορούν εύκολα να διαταράξουν μια επιχείρηση και είναι σχετικά απλές στην εκτέλεση.
Μια δεύτερη ευπάθεια λειτουργεί επίσης στέλνοντας μια σειρά κακόβουλων SACK (κακόβουλα πακέτα επιβεβαίωσης) που καταναλώνουν τους υπολογιστικούς πόρους του ευάλωτου συστήματος. Οι λειτουργίες λειτουργούν κανονικά με τον κατακερματισμό μιας ουράς για την αναμετάδοση πακέτων TCP.
Εκμετάλλευση αυτής της ευπάθειας, που παρακολουθείται ως CVE-2019-11478, υποβαθμίζει σοβαρά την απόδοση του συστήματος και μπορεί δυνητικά να προκαλέσει πλήρη άρνηση υπηρεσίας.
Αυτές οι δύο ευπάθειες εκμεταλλεύονται τον τρόπο με τον οποίο τα λειτουργικά συστήματα χειρίζονται το προαναφερθέν Selective TCP Awareness (SACK για συντομία).
Το SACK είναι ένας μηχανισμός που επιτρέπει στον υπολογιστή ενός παραλήπτη επικοινωνίας να πει στον αποστολέα ποια τμήματα έχουν αποσταλεί επιτυχώς, έτσι ώστε αυτά που έχουν χαθεί να μπορούν να επιστραφούν. Τα τρωτά σημεία λειτουργούν ξεχειλίζοντας μια ουρά που αποθηκεύει πακέτα που έχουν λάβει.
Η τρίτη ευπάθεια, που ανακαλύφθηκε στο FreeBSD 12 και ταυτοποίηση CVE-2019-5599, Λειτουργεί με τον ίδιο τρόπο όπως το CVE-2019-11478, αλλά αλληλεπιδρά με την κάρτα αποστολής RACK αυτού του λειτουργικού συστήματος.
Μια τέταρτη ευπάθεια, CVE-2019-11479., Μπορεί να επιβραδύνει τα επηρεαζόμενα συστήματα μειώνοντας το μέγιστο μέγεθος τμήματος για μια σύνδεση TCP.
Αυτή η διαμόρφωση αναγκάζει τα ευάλωτα συστήματα να στέλνουν απαντήσεις σε πολλά τμήματα TCP, καθένα από τα οποία περιέχει μόνο 8 byte δεδομένων.
Οι ευπάθειες αναγκάζουν το σύστημα να καταναλώνει μεγάλες ποσότητες εύρους ζώνης και πόρους για να υποβαθμίσει την απόδοση του συστήματος.
Οι προαναφερθείσες παραλλαγές των επιθέσεων άρνησης υπηρεσίας περιλαμβάνουν πλημμύρες ICMP ή UDP, που μπορεί να επιβραδύνει τις λειτουργίες δικτύου.
Αυτές οι επιθέσεις αναγκάζουν το θύμα να χρησιμοποιεί πόρους όπως εύρος ζώνης και buffer συστήματος για να ανταποκριθεί σε αιτήματα επίθεσης σε βάρος των έγκυρων αιτημάτων.
Οι ερευνητές του Netflix ανακάλυψαν αυτές τις ευπάθειες και τους ανακοίνωσαν δημόσια για αρκετές ημέρες.
Οι διανομές Linux έχουν κυκλοφορήσει ενημερώσεις κώδικα για αυτές τις ευπάθειες ή έχουν κάποιες πραγματικά χρήσιμες τροποποιήσεις διαμόρφωσης που τις μετριάζουν.
Οι λύσεις είναι να αποκλείσετε συνδέσεις με χαμηλό μέγιστο μέγεθος τμήματος (MSS), να απενεργοποιήσετε την επεξεργασία SACK ή να απενεργοποιήσετε γρήγορα τη στοίβα TCP RACK.
Αυτές οι ρυθμίσεις μπορούν να διακόψουν τις αυθεντικές συνδέσεις και εάν η στοίβα TCP RACK είναι απενεργοποιημένη, ένας εισβολέας θα μπορούσε να προκαλέσει δαπανηρή αλυσίδα της συνδεδεμένης λίστας για τα επόμενα SACK που αποκτήθηκαν για μια παρόμοια σύνδεση TCP.
Τέλος, ας θυμηθούμε ότι η σουίτα πρωτοκόλλου TCP / IP έχει σχεδιαστεί για να λειτουργεί σε ένα αξιόπιστο περιβάλλον.
Το μοντέλο έχει αναπτυχθεί ως ένα σύνολο ευέλικτων, ανεκτικών σφαλμάτων πρωτοκόλλων που είναι αρκετά ανθεκτικά ώστε να αποφεύγονται αστοχίες σε περίπτωση μίας ή περισσότερων βλαβών κόμβου.