Suita de protocol TCP / IP, dezvoltat sub patronajul Departamentului Apărării al Statelor Unite, a generat probleme inerente de securitate la proiectarea protocolului sau la majoritatea implementărilor TCP / IP.
Din moment ce s-a dezvăluit că hackerii folosesc aceste vulnerabilități pentru a efectua diverse atacuri asupra sistemelor. Problemele tipice exploatate în suita de protocoale TCP / IP sunt falsificarea IP, scanarea porturilor și refuzurile de serviciu.
L Cercetătorii Netflix au descoperit 4 defecte care ar putea face ravagii în centrele de date. Aceste vulnerabilități au fost descoperite recent în sistemele de operare Linux și FreeBSD. Acestea permit hackerilor să blocheze serverele și să perturbe comunicațiile la distanță.
Despre erorile găsite
Cea mai gravă vulnerabilitate, numită SACK Panic, poate fi exploatat prin trimiterea unei secvențe de confirmare TCP selective special conceput pentru un computer sau server vulnerabil.
Sistemul va reacționa prin prăbușirea sau intrarea în Kernel Panic. Exploatarea cu succes a acestei vulnerabilități, identificată ca CVE-2019-11477, are ca rezultat o negare de la distanță a serviciului.
Atacurile de refuz de serviciu încearcă să consume toate resursele critice pe un sistem sau rețea țintă, astfel încât acestea să nu fie disponibile pentru utilizarea normală. Atacurile de refuz de serviciu sunt considerate un risc semnificativ, deoarece pot perturba cu ușurință o afacere și sunt relativ simple de efectuat.
O a doua vulnerabilitate funcționează și prin trimiterea unei serii de SACK-uri rău intenționate (pachete de confirmare rău intenționate) care consumă resursele de calcul ale sistemului vulnerabil. Operațiunile funcționează în mod normal prin fragmentarea unei cozi de retransmisie a pachetelor TCP.
Exploatarea acestei vulnerabilități, urmărită ca CVE-2019-11478, degradează grav performanța sistemului și poate provoca o refuzare completă a serviciului.
Aceste două vulnerabilități exploatează modul în care sistemele de operare gestionează conștientizarea Selective TCP Awareness (SACK pe scurt).
SACK este un mecanism care permite computerului destinatarului comunicației să spună expeditorului ce segmente au fost trimise cu succes, astfel încât cele pierdute să poată fi returnate. Vulnerabilitățile funcționează prin revărsarea unei cozi care stochează pachetele primite.
A treia vulnerabilitate, descoperită în FreeBSD 12 și identificarea CVE-2019-5599, funcționează la fel ca CVE-2019-11478, dar interacționează cu cardul de expediere RACK al acestui sistem de operare.
O a patra vulnerabilitate, CVE-2019-11479., Poate încetini sistemele afectate prin reducerea dimensiunii maxime a segmentului pentru o conexiune TCP.
Această configurație forțează sistemele vulnerabile să trimită răspunsuri pe mai multe segmente TCP, fiecare dintre acestea conținând doar 8 octeți de date.
Vulnerabilitățile determină sistemul să consume cantități mari de lățime de bandă și resurse pentru a degrada performanța sistemului.
Variantele menționate mai sus de atacuri de refuz de serviciu includ inundații ICMP sau UDP, care poate încetini operațiunile de rețea.
Aceste atacuri determină victima să utilizeze resurse precum lățimea de bandă și tampoanele de sistem pentru a răspunde cererilor de atac în detrimentul cererilor valide.
Cercetătorii Netflix au descoperit aceste vulnerabilități și i-au anunțat public câteva zile.
Distribuțiile Linux au lansat patch-uri pentru aceste vulnerabilități sau au unele modificări de configurație foarte utile care le atenuează.
Soluțiile sunt blocarea conexiunilor cu o dimensiune maximă a segmentului (MSS) redusă, dezactivarea procesării SACK sau dezactivarea rapidă a stivei TCP RACK.
Aceste setări pot perturba conexiunile autentice și, dacă stiva TCP RACK este dezactivată, un atacator poate provoca înlănțuirea costisitoare a listei legate pentru SACK-urile ulterioare achiziționate pentru o conexiune TCP similară.
În cele din urmă, să ne amintim că suita de protocol TCP / IP a fost concepută pentru a funcționa într-un mediu fiabil.
Modelul a fost dezvoltat ca un set de protocoale flexibile, tolerante la erori, care sunt suficient de robuste pentru a evita eșecurile în cazul unuia sau mai multor eșecuri ale nodului.