TCP / IP-protokollpakken, utviklet under protektion av USAs forsvarsdepartement, har generert iboende sikkerhetsproblemer til protokolldesignet eller til de fleste TCP / IP-implementeringer.
Siden det har blitt avslørt at hackere bruker disse sårbarhetene å utføre forskjellige angrep på systemer. Typiske problemer utnyttet i TCP / IP-protokollpakken er IP-spoofing, portskanning og nektelse av tjenesten.
den Netflix-forskere har oppdaget 4 feil som kan forårsake kaos i datasentre. Disse sårbarhetene har nylig blitt oppdaget i operativsystemene Linux og FreeBSD. De lar hackere låse servere og forstyrre ekstern kommunikasjon.
Om feilene som ble funnet
Den mest alvorlige sårbarheten, kalt SACK Panic, kan utnyttes ved å sende en selektiv TCP-bekreftelsessekvens spesielt designet for en sårbar datamaskin eller server.
Systemet vil reagere ved å krasje eller gå inn i kjernepanikken. Vellykket utnyttelse av dette sikkerhetsproblemet, identifisert som CVE-2019-11477, resulterer i en ekstern nektelse av tjenesten.
Denial of service-angrep prøver å konsumere alle kritiske ressurser på et målsystem eller nettverk slik at de ikke er tilgjengelige for normal bruk. Denial of service-angrep betraktes som en betydelig risiko fordi de lett kan forstyrre en virksomhet og er relativt enkle å utføre.
En annen sårbarhet fungerer også ved å sende en serie ondsinnede SACK (ondsinnede bekreftelsespakker) som bruker databehandlingsressursene til det sårbare systemet. Operasjonene fungerer normalt ved å splitte en kø for videresending av TCP-pakker.
Utnyttelse av dette sikkerhetsproblemet, sporet som CVE-2019-11478, svekker systemytelsen alvorlig og kan potensielt føre til fullstendig nektelse av tjenesten.
Disse to sårbarhetene utnytter måten operativsystemene håndterer nevnte Selective TCP Awareness (SACK for kort).
SACK er en mekanisme som gjør det mulig for datamaskinen til en kommunikasjonsmottaker å fortelle avsenderen hvilke segmenter som har blitt sendt, slik at de som har gått tapt kan returneres. Sårbarhetene fungerer ved å overfylle en kø som lagrer mottatte pakker.
Den tredje sårbarheten, oppdaget i FreeBSD 12 og identifisere CVE-2019-5599, fungerer på samme måte som CVE-2019-11478, men samhandler med RACK-sendekortet til dette operativsystemet.
En fjerde sårbarhet, CVE-2019-11479., Kan redusere berørte systemer ved å redusere den maksimale segmentstørrelsen for en TCP-forbindelse.
Denne konfigurasjonen tvinger sårbare systemer til å sende svar over flere TCP-segmenter, som hver inneholder bare 8 byte med data.
Sårbarhetene fører til at systemet bruker store mengder båndbredde og ressurser for å forringe systemytelsen.
De nevnte variantene av denial of service-angrep inkluderer ICMP- eller UDP-flom, som kan bremse nettverksdriften.
Disse angrepene får offeret til å bruke ressurser som båndbredde og systembuffere for å svare på angrepsforespørsler på bekostning av gyldige forespørsler.
Netflix-forskere oppdaget disse sårbarhetene og de kunngjorde dem offentlig i flere dager.
Linux-distribusjoner har gitt ut oppdateringer for disse sårbarhetene eller har noen veldig nyttige konfigurasjonstilpasninger som demper dem.
Løsningene er å blokkere forbindelser med lav maksimal segmentstørrelse (MSS), deaktivere SACK-behandling, eller raskt deaktivere TCP RACK-stakken.
Disse innstillingene kan forstyrre autentiske forbindelser, og hvis TCP RACK-stakken er deaktivert, kan en angriper forårsake kostbar kjetting av den koblede listen for påfølgende SACKer som er anskaffet for en lignende TCP-forbindelse.
Til slutt, la oss huske at TCP / IP-protokollpakken er designet for å fungere i et pålitelig miljø.
Modellen er utviklet som et sett med fleksible, feiltolerante protokoller som er robuste nok til å unngå feil i tilfelle en eller flere nodefeil.