A TCP / IP protokollkészlet, amelyet az Egyesült Államok Védelmi Minisztériuma védnöksége alatt fejlesztettek ki, eredendő biztonsági kérdéseket generált a protokolltervhez vagy a legtöbb TCP / IP megvalósításhoz.
Mivel kiderült, hogy a hackerek használják ezeket a biztonsági réseket hogy különböző támadásokat hajtsanak végre a rendszerek ellen. A TCP / IP protokollcsomagban kihasznált tipikus kérdések az IP-hamisítás, a portok beolvasása és a szolgáltatás megtagadása.
sok A Netflix kutatói 4 hibát fedeztek fel ez pusztítást okozhat az adatközpontokban. Ezeket a biztonsági réseket a közelmúltban fedezték fel a Linux és a FreeBSD operációs rendszerekben. Lehetővé teszik a hackerek számára, hogy lezárják a szervereket és megzavarják a távoli kommunikációt.
A talált hibákról
A legsúlyosabb sérülékenység, az ún SACK Panic, kihasználható egy szelektív TCP nyugtázó szekvencia küldésével kifejezetten egy sebezhető számítógéphez vagy szerverhez tervezték.
A rendszer úgy reagál, hogy összeomlik vagy belép a Kernel Panic-ba. A CVE-2019-11477 azonosító számú biztonsági rés sikeres kihasználása távoli szolgáltatásmegtagadást eredményez.
A szolgáltatásmegtagadási támadások megkísérlik az összes kritikus erőforrás felhasználását egy célrendszeren vagy hálózaton, így azok normál használatra nem állnak rendelkezésre. A szolgáltatásmegtagadási támadásokat jelentős kockázatnak tekintik, mivel könnyen megzavarhatják az üzleti életet, és viszonylag egyszerűen kivitelezhetők.
A második biztonsági rés rosszindulatú SACK-ek küldésével is működik (rosszindulatú visszaigazoló csomagok), amelyek felemésztik a sérülékeny rendszer számítási erőforrásait. A műveletek általában úgy működnek, hogy szétaprózzák a TCP-csomagok továbbviteli sorát.
A biztonsági rés kihasználása, CVE-2019-11478 néven követve, súlyosan rontja a rendszer teljesítményét, és a szolgáltatás teljes megtagadását okozhatja.
Ez a két biztonsági rés kihasználja azt, ahogy az operációs rendszerek kezelik a fent említett szelektív TCP-tudatosságot (röviden SACK).
A SACK egy olyan mechanizmus, amely lehetővé teszi a kommunikációs címzett számítógépének, hogy megmondja a feladónak, hogy mely szegmenseket küldte el sikeresen, hogy az elveszett szegmensek visszatérhessenek. A biztonsági rések úgy működnek, hogy túlcsordulnak a fogadott csomagokat tároló sorok.
A harmadik biztonsági rés, amelyet a FreeBSD 12-ben fedeztek fel és a CVE-2019-5599 azonosítása, Ugyanúgy működik, mint a CVE-2019-11478, de kölcsönhatásban áll az operációs rendszer RACK küldőkártyájával.
A negyedik biztonsági rés, a CVE-2019-11479., Lelassíthatja az érintett rendszereket azáltal, hogy csökkenti a TCP-kapcsolat maximális szegmensméretét.
Ez a konfiguráció arra kényszeríti a sebezhető rendszereket, hogy válaszokat küldjenek több TCP-szegmensen keresztül, amelyek mindegyike csak 8 bájt adatot tartalmaz.
A biztonsági rések miatt a rendszer nagy mennyiségű sávszélességet és erőforrást emészt fel a rendszer teljesítményének romlása érdekében.
A szolgáltatásmegtagadási támadások fent említett változatai közé tartozik az ICMP vagy az UDP áradás, ami lelassíthatja a hálózati műveleteket.
Ezek a támadások arra késztetik az áldozatot, hogy erőforrásokat, például sávszélességet és rendszerpuffereket használjon a támadási kérelmek megválaszolására az érvényes kérések rovására.
A Netflix kutatói felfedezték ezeket a sebezhetőségeket és több napig nyilvánosan bejelentették őket.
A Linux disztribúciók kiadtak javításokat ezekhez a biztonsági résekhez, vagy valóban hasznos konfigurációs módosításokkal rendelkeznek, amelyek enyhítik őket.
Megoldások az alacsony maximális szegmensméretû (MSS) kapcsolatok blokkolása, a SACK feldolgozásának letiltása vagy a TCP RACK verem gyors letiltása.
Ezek a beállítások megzavarhatják a hiteles kapcsolatokat, és ha a TCP RACK verem le van tiltva, a támadó költséges láncolást okozhat a kapcsolt listának a hasonló TCP-kapcsolat számára megszerzett későbbi SACK-ekben.
Végül emlékezzünk arra, hogy a TCP / IP protokollcsomagot úgy tervezték, hogy megbízható környezetben működjön.
A modellt rugalmas, hibatűrő protokollokként fejlesztették ki, amelyek elég robusztusak ahhoz, hogy elkerüljék a meghibásodásokat egy vagy több csomópont meghibásodása esetén.