O pacote de protocolos TCP / IP, desenvolvido sob o patrocínio do Departamento de Defesa dos Estados Unidos, gerou problemas de segurança inerentes para o projeto do protocolo ou para a maioria das implementações TCP / IP.
Uma vez que foi revelado que os hackers usam essas vulnerabilidades para realizar vários ataques aos sistemas. Os problemas típicos explorados no conjunto de protocolos TCP / IP são falsificação de IP, varredura de portas e negações de serviço.
Os Pesquisadores da Netflix descobriram 4 falhas que pode causar estragos em data centers. Essas vulnerabilidades foram recentemente descobertas nos sistemas operacionais Linux e FreeBSD. Eles permitem que os hackers bloqueiem servidores e interrompam as comunicações remotas.
Sobre os bugs encontrados
A vulnerabilidade mais séria, chamada SACK Panic, pode ser explorado enviando uma sequência de confirmação seletiva de TCP projetado especificamente para um computador ou servidor vulnerável.
O sistema irá reagir travando ou entrando no Kernel Panic. A exploração bem-sucedida desta vulnerabilidade, identificada como CVE-2019-11477, resulta em uma negação de serviço remota.
Ataques de negação de serviço tentam consumir todos os recursos críticos em um sistema ou rede de destino, de forma que eles não estejam disponíveis para uso normal. Os ataques de negação de serviço são considerados um risco significativo porque podem facilmente interromper um negócio e são relativamente simples de executar.
Uma segunda vulnerabilidade também funciona enviando uma série de SACKs maliciosos (pacotes de confirmação maliciosos) que consomem os recursos de computação do sistema vulnerável. As operações normalmente funcionam fragmentando uma fila para retransmissão de pacotes TCP.
Exploração desta vulnerabilidade, rastreada como CVE-2019-11478, degrada gravemente o desempenho do sistema e pode causar uma negação de serviço completa.
Essas duas vulnerabilidades exploram a maneira como os sistemas operacionais lidam com o mencionado reconhecimento seletivo de TCP (abreviatura de SACK).
SACK é um mecanismo que permite ao computador do destinatário da comunicação informar ao remetente quais segmentos foram enviados com sucesso, para que os que foram perdidos possam ser devolvidos. As vulnerabilidades funcionam ao transbordar uma fila que armazena os pacotes recebidos.
A terceira vulnerabilidade, descoberta no FreeBSD 12 e identificando CVE-2019-5599, Funciona da mesma forma que o CVE-2019-11478, mas interage com a placa emissora RACK deste sistema operacional.
Uma quarta vulnerabilidade, CVE-2019-11479., Pode desacelerar os sistemas afetados, reduzindo o tamanho máximo do segmento para uma conexão TCP.
Essa configuração força os sistemas vulneráveis a enviarem respostas por vários segmentos TCP, cada um contendo apenas 8 bytes de dados.
As vulnerabilidades fazem com que o sistema consuma grandes quantidades de largura de banda e recursos para degradar o desempenho do sistema.
As variantes mencionadas de ataques de negação de serviço incluem inundações de ICMP ou UDP, o que pode desacelerar as operações de rede.
Esses ataques fazem com que a vítima use recursos como largura de banda e buffers do sistema para responder a solicitações de ataque em detrimento de solicitações válidas.
Pesquisadores da Netflix descobriram essas vulnerabilidades e eles os anunciaram publicamente por vários dias.
As distribuições do Linux lançaram patches para essas vulnerabilidades ou têm alguns ajustes de configuração realmente úteis que as atenuam.
As soluções são bloquear conexões com um tamanho de segmento máximo baixo (MSS), desabilitar o processamento SACK ou desabilitar rapidamente a pilha TCP RACK.
Essas configurações podem interromper as conexões autênticas e, se a pilha TCP RACK estiver desabilitada, um invasor pode causar um encadeamento caro da lista vinculada para SACKs subsequentes adquiridos para uma conexão TCP semelhante.
Finalmente, vamos lembrar que o conjunto de protocolos TCP / IP foi projetado para funcionar em um ambiente confiável.
O modelo foi desenvolvido como um conjunto de protocolos flexíveis e tolerantes a falhas que são robustos o suficiente para evitar falhas no caso de uma ou mais falhas de nó.