La suite de protocoles TCP / IP, développé sous le patronage du Département américain de la Défense, a généré des problèmes de sécurité inhérents à la conception de protocoles ou à la plupart des implémentations TCP / IP.
Depuis qu'il a été révélé que les pirates utilisent ces vulnérabilités pour effectuer diverses attaques sur les systèmes. Les problèmes typiques exploités dans la suite de protocoles TCP / IP sont l'usurpation d'adresse IP, l'analyse des ports et les dénis de service.
Les Les chercheurs de Netflix ont découvert 4 failles cela pourrait faire des ravages dans les centres de données. Ces vulnérabilités ont été récemment découvertes dans les systèmes d'exploitation Linux et FreeBSD. Ils permettent aux pirates de verrouiller les serveurs et de perturber les communications à distance.
À propos des bogues trouvés
La vulnérabilité la plus grave, appelée SACK Panic, peut être exploité en envoyant une séquence d'acquittement TCP sélective spécialement conçu pour un ordinateur ou un serveur vulnérable.
Le système réagira en plantant ou en entrant dans Kernel Panic. L'exploitation réussie de cette vulnérabilité, identifiée comme CVE-2019-11477, entraîne un déni de service à distance.
Les attaques par déni de service tentent de consommer toutes les ressources critiques sur un système ou un réseau cible afin qu'elles ne soient pas disponibles pour une utilisation normale. Les attaques par déni de service sont considérées comme un risque important car elles peuvent facilement perturber une entreprise et sont relativement simples à réaliser.
Une deuxième vulnérabilité fonctionne également en envoyant une série de SACK malveillants (paquets de confirmation malveillants) qui consomment les ressources informatiques du système vulnérable. Les opérations fonctionnent normalement en fragmentant une file d'attente pour la retransmission des paquets TCP.
Exploitation de cette vulnérabilité, suivie comme CVE-2019-11478, dégrade gravement les performances du système et peut potentiellement provoquer un déni de service complet.
Ces deux vulnérabilités exploitent la façon dont les systèmes d'exploitation gèrent la conscience TCP sélective susmentionnée (SACK en abrégé).
SACK est un mécanisme qui permet à l'ordinateur d'un destinataire de communication d'indiquer à l'expéditeur quels segments ont été envoyés avec succès, afin que ceux qui ont été perdus puissent être retournés. Les vulnérabilités fonctionnent en débordant une file d'attente qui stocke les paquets reçus.
La troisième vulnérabilité, découverte dans FreeBSD 12 et identifiant CVE-2019-5599, Il fonctionne de la même manière que CVE-2019-11478, mais il interagit avec la carte d'envoi RACK de ce système d'exploitation.
Une quatrième vulnérabilité, CVE-2019-11479., Peut ralentir les systèmes affectés en réduisant la taille de segment maximale pour une connexion TCP.
Cette configuration oblige les systèmes vulnérables à envoyer des réponses sur plusieurs segments TCP, chacun contenant seulement 8 octets de données.
Les vulnérabilités amènent le système à consommer de grandes quantités de bande passante et de ressources pour dégrader les performances du système.
Les variantes susmentionnées d'attaques par déni de service incluent les inondations ICMP ou UDP., ce qui peut ralentir les opérations réseau.
Ces attaques amènent la victime à utiliser des ressources telles que la bande passante et les tampons système pour répondre aux demandes d'attaque au détriment des demandes valides.
Les chercheurs de Netflix ont découvert ces vulnérabilités et ils les ont annoncés publiquement pendant plusieurs jours.
Les distributions Linux ont publié des correctifs pour ces vulnérabilités ou ont quelques ajustements de configuration vraiment utiles qui les atténuent.
Les solutions sont de bloquer les connexions avec une faible taille de segment maximale (MSS), de désactiver le traitement SACK ou de désactiver rapidement la pile TCP RACK.
Ces paramètres peuvent perturber les connexions authentiques, et si la pile TCP RACK est désactivée, un attaquant pourrait provoquer un chaînage coûteux de la liste liée pour les SACK suivants acquis pour une connexion TCP similaire.
Enfin, rappelons que la suite de protocoles TCP / IP a été conçue pour fonctionner dans un environnement fiable.
Le modèle a été développé sous la forme d'un ensemble de protocoles flexibles, tolérants aux pannes, suffisamment robustes pour éviter les pannes en cas de panne d'une ou de plusieurs nœuds.