La suite di protocolli TCP / IP, sviluppato con il patrocinio del Dipartimento della Difesa degli Stati Uniti, ha generato problemi di sicurezza intrinseci alla progettazione del protocollo o alla maggior parte delle implementazioni TCP / IP.
Da quando è stato rivelato che gli hacker utilizzano queste vulnerabilità per eseguire vari attacchi ai sistemi. I problemi tipici sfruttati nella suite di protocolli TCP / IP sono spoofing IP, scansione delle porte e denial of service.
I I ricercatori di Netflix hanno scoperto 4 difetti che potrebbe provocare il caos nei data center. Queste vulnerabilità sono state recentemente scoperte nei sistemi operativi Linux e FreeBSD. Consentono agli hacker di bloccare i server e interrompere le comunicazioni remote.
Informazioni sui bug trovati
La vulnerabilità più grave, chiamata SACK Panic, può essere sfruttato inviando una sequenza di riconoscimento TCP selettiva progettato specificamente per un computer o un server vulnerabile.
Il sistema reagirà bloccandosi o entrando in Kernel Panic. Lo sfruttamento riuscito di questa vulnerabilità, identificata come CVE-2019-11477, si traduce in una negazione del servizio a distanza.
Gli attacchi Denial of Service tentano di consumare tutte le risorse critiche su un sistema o una rete di destinazione in modo che non siano disponibili per il normale utilizzo. Gli attacchi Denial of Service sono considerati un rischio significativo perché possono facilmente interrompere un'azienda e sono relativamente semplici da eseguire.
Una seconda vulnerabilità funziona anche inviando una serie di SACK dannosi (pacchetti di conferma dannosi) che consumano le risorse di elaborazione del sistema vulnerabile. Le operazioni normalmente funzionano frammentando una coda per la ritrasmissione di pacchetti TCP.
Sfruttamento di questa vulnerabilità, monitorato come CVE-2019-11478, degrada gravemente le prestazioni del sistema e può potenzialmente causare una completa negazione del servizio.
Queste due vulnerabilità sfruttano il modo in cui i sistemi operativi gestiscono il suddetto Selective TCP Awareness (abbreviato SACK).
SACK è un meccanismo che consente al computer del destinatario della comunicazione di comunicare al mittente quali segmenti sono stati inviati con successo, in modo che quelli che sono stati persi possano essere restituiti. Le vulnerabilità funzionano sovraccaricando una coda che memorizza i pacchetti ricevuti.
La terza vulnerabilità, scoperta in FreeBSD 12 e identificare CVE-2019-5599, Funziona allo stesso modo di CVE-2019-11478, ma interagisce con la scheda di invio RACK di questo sistema operativo.
Una quarta vulnerabilità, CVE-2019-11479., Può rallentare i sistemi interessati riducendo la dimensione massima del segmento per una connessione TCP.
Questa configurazione forza i sistemi vulnerabili a inviare risposte su più segmenti TCP, ognuno dei quali contiene solo 8 byte di dati.
Le vulnerabilità fanno sì che il sistema utilizzi grandi quantità di larghezza di banda e risorse per ridurre le prestazioni del sistema.
Le suddette varianti di attacchi denial of service includono i flood ICMP o UDP, che può rallentare le operazioni di rete.
Questi attacchi fanno sì che la vittima utilizzi risorse come larghezza di banda e buffer di sistema per rispondere alle richieste di attacco a scapito delle richieste valide.
I ricercatori di Netflix hanno scoperto queste vulnerabilità e li hanno annunciati pubblicamente per diversi giorni.
Le distribuzioni Linux hanno rilasciato patch per queste vulnerabilità o hanno alcune modifiche di configurazione davvero utili che le mitigano.
Le soluzioni sono bloccare le connessioni con una dimensione massima del segmento (MSS) bassa, disabilitare l'elaborazione SACK o disabilitare rapidamente lo stack TCP RACK.
Queste impostazioni possono interrompere le connessioni autentiche e, se lo stack TCP RACK è disabilitato, un utente malintenzionato potrebbe causare un costoso concatenamento dell'elenco collegato per i successivi SACK acquisiti per una connessione TCP simile.
Infine, ricordiamo che la suite di protocolli TCP / IP è stata progettata per funzionare in un ambiente affidabile.
Il modello è stato sviluppato come un insieme di protocolli flessibili e tolleranti ai guasti che sono sufficientemente robusti da evitare guasti in caso di guasti di uno o più nodi.