Paket TCP / IP protokola, razvijen pod pokroviteljstvom Ministarstva obrane Sjedinjenih Država, generirao svojstvene sigurnosne probleme dizajnu protokola ili većini implementacija TCP / IP-a.
Otkad je otkriveno da hakeri koriste ove ranjivosti za izvođenje raznih napada na sustave. Tipični problemi koji se koriste u TCP / IP paketu protokola su prevara IP-a, skeniranje priključaka i odbijanje usluge.
The Istraživači Netflixa otkrili su 4 nedostatka koji bi mogao napraviti pustoš u podatkovnim centrima. Te su ranjivosti nedavno otkrivene u operativnim sustavima Linux i FreeBSD. Omogućuju hakerima zaključavanje poslužitelja i ometanje daljinske komunikacije.
O pronađenim bugovima
Najozbiljnija ranjivost, tzv SACK Panic, može se iskoristiti slanjem selektivne sekvence potvrde TCP-a posebno dizajniran za ranjivo računalo ili poslužitelj.
Sustav će reagirati padom ili ulaskom u paniku jezgre. Uspješno iskorištavanje ove ranjivosti, identificirane kao CVE-2019-11477, rezultira daljinskim uskraćivanjem usluge.
Napadi uskraćivanja usluge pokušavaju potrošiti sve kritične resurse na ciljnom sustavu ili mreži tako da nisu dostupni za uobičajenu upotrebu. Napadi uskraćivanja usluge smatraju se značajnim rizikom jer mogu lako poremetiti poslovanje i relativno su jednostavni za izvođenje.
Druga ranjivost također funkcionira slanjem niza zlonamjernih SACK-ova (zlonamjerni paketi potvrde) koji troše računalne resurse ranjivog sustava. Operacije normalno funkcioniraju fragmentiranjem reda za ponovni prijenos TCP paketa.
Iskorištavanje ove ranjivosti, evidentirano kao CVE-2019-11478, ozbiljno pogoršava performanse sustava i potencijalno može prouzročiti potpuno uskraćivanje usluge.
Ove dvije ranjivosti iskorištavaju način na koji operativni sustavi postupaju s gore spomenutom selektivnom sviješću o TCP-u (skraćeno SACK).
SACK je mehanizam koji omogućuje računalu primatelja komunikacije da pošiljatelju kaže koji su segmenti uspješno poslani, tako da se oni izgubljeni mogu vratiti. Ranjivosti funkcioniraju preplavljivanjem reda koji pohranjuje primljene pakete.
Treća ranjivost, otkrivena u FreeBSD 12 i identificiranje CVE-2019-5599, radi na isti način kao CVE-2019-11478, ali komunicira s RACK karticom za slanje ovog operativnog sustava.
Četvrta ranjivost, CVE-2019-11479., Može usporiti pogođene sustave smanjenjem maksimalne veličine segmenta za TCP vezu.
Ova konfiguracija prisiljava ranjive sustave da šalju odgovore preko više TCP segmenata, od kojih svaki sadrži samo 8 bajtova podataka.
Ranjivosti uzrokuju da sustav troši velike količine propusnosti i resursa za pogoršanje performansi sustava.
Spomenute varijante napada uskraćivanja usluge uključuju ICMP ili UDP poplave, što može usporiti mrežne radnje.
Ti napadi uzrokuju da žrtva koristi resurse poput širine pojasa i sistemskih međuspremnika kako bi odgovorila na zahtjeve za napad na štetu važećih zahtjeva.
Istraživači Netflixa otkrili su ove ranjivosti a oni su ih najavljivali nekoliko dana.
Linux distribucije objavile su zakrpe za ove ranjivosti ili imaju neke doista korisne prilagodbe konfiguracije koje ih ublažavaju.
Rješenja su blokiranje veza s malom maksimalnom veličinom segmenta (MSS), onemogućavanje SACK obrade ili brzo onemogućavanje TCP RACK stoga.
Te postavke mogu poremetiti autentične veze, a ako je onemogućen TCP RACK stog, napadač može prouzročiti skupo lančano povezivanje popisa za sljedeće SACK-ove stečene za sličnu TCP vezu.
Na kraju, sjetimo se da je paket protokola TCP / IP dizajniran za rad u pouzdanom okruženju.
Model je razvijen kao skup fleksibilnih protokola otpornih na kvarove koji su dovoljno robusni da izbjegnu kvarove u slučaju kvara jednog ili više čvorova.