Paket protokol TCP / IP, dikembangkan di bawah perlindungan Departemen Pertahanan Amerika Serikat, telah menimbulkan masalah keamanan yang melekat untuk desain protokol atau sebagian besar implementasi TCP / IP.
Sejak terungkap bahwa peretas menggunakan kerentanan ini untuk melakukan berbagai serangan pada sistem. Masalah khas yang dieksploitasi dalam rangkaian protokol TCP / IP adalah spoofing IP, pemindaian port, dan penolakan layanan.
Los Peneliti Netflix telah menemukan 4 kekurangan yang dapat mendatangkan malapetaka di pusat data. Kerentanan ini baru-baru ini ditemukan di sistem operasi Linux dan FreeBSD. Mereka memungkinkan peretas untuk mengunci server dan mengganggu komunikasi jarak jauh.
Tentang bug yang ditemukan
Kerentanan paling serius, disebut SACK Panic, dapat dimanfaatkan dengan mengirimkan urutan pengakuan TCP selektif dirancang khusus untuk komputer atau server yang rentan.
Sistem akan bereaksi dengan menabrak atau memasuki Kernel Panic. Eksploitasi yang berhasil dari kerentanan ini, yang diidentifikasi sebagai CVE-2019-11477, menghasilkan penolakan layanan dari jarak jauh.
Serangan Denial of service mencoba menghabiskan semua sumber daya penting pada sistem atau jaringan target sehingga tidak tersedia untuk penggunaan normal. Serangan Denial of service dianggap sebagai risiko yang signifikan karena dapat dengan mudah mengganggu bisnis dan relatif sederhana untuk dilakukan.
Kerentanan kedua juga bekerja dengan mengirimkan serangkaian KARUNG berbahaya (paket konfirmasi berbahaya) yang mengkonsumsi sumber daya komputasi dari sistem yang rentan. Operasi biasanya bekerja dengan memecah antrian untuk transmisi ulang paket TCP.
Eksploitasi kerentanan ini, dilacak sebagai CVE-2019-11478, sangat menurunkan kinerja sistem dan berpotensi menyebabkan penolakan layanan sepenuhnya.
Kedua kerentanan ini mengeksploitasi cara sistem operasi menangani Kesadaran TCP Selektif yang disebutkan di atas (disingkat SACK).
SACK adalah mekanisme yang memungkinkan komputer penerima komunikasi untuk memberi tahu pengirim segmen mana yang telah berhasil dikirim, sehingga segmen yang telah hilang dapat dikembalikan. Kerentanan bekerja dengan meluapnya antrian yang menyimpan paket yang diterima.
Kerentanan ketiga, ditemukan di FreeBSD 12 dan mengidentifikasi CVE-2019-5599, Ini bekerja dengan cara yang sama seperti CVE-2019-11478, tetapi berinteraksi dengan kartu pengirim RACK dari sistem operasi ini.
Kerentanan keempat, CVE-2019-11479., Dapat memperlambat sistem yang terpengaruh dengan mengurangi ukuran segmen maksimum untuk koneksi TCP.
Konfigurasi ini memaksa sistem yang rentan untuk mengirim tanggapan melalui beberapa segmen TCP, yang masing-masing hanya berisi 8 byte data.
Kerentanan menyebabkan sistem mengkonsumsi bandwidth dan sumber daya dalam jumlah besar untuk menurunkan kinerja sistem.
Varian serangan penolakan layanan yang disebutkan di atas termasuk banjir ICMP atau UDP, yang dapat memperlambat operasi jaringan.
Serangan ini menyebabkan korban menggunakan sumber daya seperti bandwidth dan buffer sistem untuk menanggapi permintaan serangan dengan mengorbankan permintaan yang valid.
Peneliti Netflix menemukan kerentanan ini dan mereka mengumumkannya di depan umum selama beberapa hari.
Distribusi Linux telah merilis tambalan untuk kerentanan ini atau memiliki beberapa penyesuaian konfigurasi yang sangat berguna untuk menguranginya.
Solusinya adalah memblokir koneksi dengan ukuran segmen maksimum (MSS) yang rendah, menonaktifkan pemrosesan SACK, atau dengan cepat menonaktifkan stack TCP RACK.
Pengaturan ini dapat mengganggu koneksi asli, dan jika tumpukan TCP RACK dinonaktifkan, penyerang dapat menyebabkan perantaian yang mahal dari daftar tertaut untuk SACK berikutnya yang diperoleh untuk koneksi TCP yang serupa.
Terakhir, mari kita ingat bahwa rangkaian protokol TCP / IP telah dirancang untuk bekerja di lingkungan yang andal.
Model ini telah dikembangkan sebagai sekumpulan protokol yang fleksibel dan toleran terhadap kesalahan yang cukup kuat untuk menghindari kegagalan jika terjadi satu atau beberapa kegagalan node.