Набор протоколов TCP / IP, разработанный под патронатом Министерства обороны США, возникли проблемы с безопасностью к конструкции протокола или к большинству реализаций TCP / IP.
Поскольку выяснилось, что хакеры используют эти уязвимости для выполнения различных атак на системы. Типичными проблемами, используемыми в наборе протоколов TCP / IP, являются подмена IP-адреса, сканирование портов и отказы в обслуживании.
Исследователи Netflix обнаружили 4 недостатка это может нанести серьезный ущерб центрам обработки данных. Эти уязвимости недавно были обнаружены в операционных системах Linux и FreeBSD. Они позволяют хакерам блокировать серверы и нарушать удаленную связь.
О найденных ошибках
Самая серьезная уязвимость, называемая SACK Panic, может быть использован путем отправки выборочной последовательности TCP-подтверждения. специально разработан для уязвимого компьютера или сервера.
Система отреагирует на сбой или войдет в Kernel Panic. Успешное использование этой уязвимости, идентифицированной как CVE-2019-11477, приводит к удаленному отказу в обслуживании.
Атаки типа «отказ в обслуживании» пытаются использовать все критические ресурсы в целевой системе или сети, чтобы они были недоступны для нормального использования. Атаки отказа в обслуживании считаются значительным риском, поскольку они могут легко нарушить работу бизнеса и относительно просты в исполнении.
Вторая уязвимость также работает, отправляя серию вредоносных SACK-пакетов. (вредоносные пакеты подтверждения), которые потребляют вычислительные ресурсы уязвимой системы. Обычно операции выполняются путем фрагментации очереди для повторной передачи пакетов TCP.
Использование этой уязвимости, отслеживаемой как CVE-2019-11478, серьезно снижает производительность системы и потенциально может вызвать полный отказ в обслуживании.
Эти две уязвимости используют способ, которым операционные системы обрабатывают ранее упомянутую избирательную осведомленность о TCP (сокращенно SACK).
SACK - это механизм, который позволяет компьютеру получателя сообщения сообщить отправителю, какие сегменты были успешно отправлены, чтобы те, которые были утеряны, могли быть возвращены. Уязвимости работают путем переполнения очереди, в которой хранятся полученные пакеты.
Третья уязвимость, обнаруженная в FreeBSD 12 и идентифицируя CVE-2019-5599, работает так же, как CVE-2019-11478, но взаимодействует с отправляющей картой RACK этой операционной системы.
Четвертая уязвимость, CVE-2019-11479., Может замедлить работу уязвимых систем за счет уменьшения максимального размера сегмента для TCP-соединения.
Эта конфигурация заставляет уязвимые системы отправлять ответы через несколько сегментов TCP, каждый из которых содержит только 8 байтов данных.
Уязвимости заставляют систему потреблять большие объемы полосы пропускания и ресурсов, что снижает производительность системы.
Вышеупомянутые варианты атак типа "отказ в обслуживании" включают ICMP- или UDP-флуд., что может замедлить работу сети.
Эти атаки заставляют жертву использовать такие ресурсы, как пропускная способность и системные буферы, для ответа на запросы атаки за счет допустимых запросов.
Исследователи Netflix обнаружили эти уязвимости и объявили о них публично в течение нескольких дней.
Дистрибутивы Linux выпустили исправления для этих уязвимостей или имеют несколько действительно полезных настроек конфигурации, которые их смягчают.
Решения состоят в том, чтобы заблокировать соединения с низким максимальным размером сегмента (MSS), отключить обработку SACK или быстро отключить стек TCP RACK.
Эти настройки могут нарушить подлинные соединения, и если стек TCP RACK отключен, злоумышленник может вызвать дорогостоящую цепочку связанного списка для последующих SACK, полученных для аналогичного TCP-соединения.
Наконец, давайте вспомним, что набор протоколов TCP / IP был разработан для работы в надежной среде.
Модель была разработана как набор гибких отказоустойчивых протоколов, которые достаточно надежны, чтобы избежать сбоя в случае отказа одного или нескольких узлов.