El conjunto de protocolos TCP / IP, desarrollado bajo el patrocinio del Departamento de Defensa de los Estados Unidos, ha generado problemas de seguridad inherentes al diseño del protocolo o a la mayoría de las implementaciones de TCP / IP.
Ya que se ha dado a conocer que hackers utilizan estas vulnerabilidades para realizar varios ataques en los sistemas. Los problemas típicos que se explotan en el conjunto de protocolos TCP / IP son la falsificación de IP, el escaneo de puertos y las denegaciones de servicio.
Los investigadores de Netflix han descubierto 4 fallas que podrían causar estragos en los centros de datos. Estas vulnerabilidades se han descubierto recientemente en los sistemas operativos Linux y FreeBSD. Permiten a los hackers bloquear servidores e interrumpir las comunicaciones remotas.
Sobre los fallos encontrados
La vulnerabilidad más grave, llamada SACK Panic, puede ser explotada mediante el envío de una secuencia selectiva de reconocimiento de TCP específicamente diseñada para una computadora o para un servidor vulnerable.
El sistema reaccionará colapsando o ingresando en Kernel Panic. La explotación exitosa de esta vulnerabilidad, identificada como CVE-2019-11477, resulta en una denegación de servicio remota.
Los ataques de denegación de servicio intentan consumir todos los recursos críticos de un sistema de destino o la red para que no estén disponibles para el uso normal. Los ataques de denegación de servicio se consideran un riesgo importante porque pueden interrumpir fácilmente el funcionamiento de una empresa y son relativamente simples de realizar.
Una segunda vulnerabilidad también funciona al enviar una serie de SACK maliciosos (paquetes de confirmación maliciosos) que consumen los recursos informáticos del sistema vulnerable. Las operaciones normalmente funcionan fragmentando una cola para la retransmisión de paquetes TCP.
La explotación de esta vulnerabilidad, rastreada como CVE-2019-11478 , degrada gravemente el rendimiento del sistema y puede potencialmente causar una denegación de servicio completa.
Estas dos vulnerabilidades explotan la forma en que los sistemas operativos manejan el Reconocimiento selectivo de TCP mencionado anteriormente (SACK abreviado).
SACK es un mecanismo que permite que una computadora del destinatario de una comunicación le diga al remitente qué segmentos se han enviado con éxito, de modo que se puedan devolver los que se han perdido. Las vulnerabilidades funcionan al desbordar una cola que almacena los paquetes recibidos.
La tercera vulnerabilidad, descubierta en FreeBSD 12 e identificando CVE-2019-5599, funciona de la misma manera que CVE-2019-11478 , pero interactúa con la tarjeta de envío RACK de este sistema operativo.
Una cuarta vulnerabilidad, CVE-2019-11479., puede ralentizar los sistemas afectados al reducir el tamaño máximo de segmento para una conexión TCP.
Esta configuración obliga a los sistemas vulnerables a enviar respuestas a través de múltiples segmentos TCP, cada uno de los cuales contiene solo 8 bytes de datos.
Las vulnerabilidades hacen que el sistema consuma grandes cantidades de ancho de banda y recursos para degradar el rendimiento del sistema.
Las variantes antes mencionadas de ataques de denegación de servicio incluyen inundaciones ICMP o UDP, que pueden ralentizar las operaciones de la red.
Estos ataques hacen que la víctima utilice recursos como el ancho de banda y los búferes del sistema para responder a las solicitudes de ataque a expensas de las solicitudes válidas.
Los investigadores de Netflix descubrieron estas vulnerabilidades y las anunciaron públicamente desde ya hace varios días.
Las distribuciones de Linux han lanzado parches para estas vulnerabilidades o tienen algunos ajustes de configuración realmente útiles que los mitigan.
Las soluciones consisten en bloquear las conexiones con un tamaño de segmento máximo (MSS) bajo, deshabilitar el procesamiento SACK o deshabilitar rápidamente la pila TCP RACK.
Estos ajustes pueden interrumpir las conexiones auténticas y, en caso de que la pila TCP RACK esté deshabilitada, un atacante podría causar un costoso encadenamiento de la lista vinculada para los SACK subsiguientes adquiridos para una conexión TCP similar.
Finalmente, recordemos que el conjunto de protocolos TCP / IP ha sido diseñado para funcionar en un entorno confiable.
El modelo se ha desarrollado como un conjunto de protocolos flexibles y tolerantes a fallas que son lo suficientemente robustos para evitar fallas en caso de una o más fallas de nodo.