Sada protokolov TCP / IPvyvinuté pod záštitou Ministerstva obrany USA, vygeneroval inherentné problémy so zabezpečením k návrhu protokolu alebo k väčšine implementácií TCP / IP.
Odkedy vyšlo najavo, že hackeri tieto zraniteľnosti využívajú vykonávať rôzne útoky na systémy. Typickými problémami využívanými v balíku protokolov TCP / IP sú spoofing IP adries, skenovanie portov a odmietnutie služby.
undefined Vedci z Netflixu objavili 4 chyby ktoré by mohli spôsobiť katastrofu v dátových centrách. Tieto chyby boli nedávno objavené v operačných systémoch Linux a FreeBSD. Umožňujú hackerom uzamknúť servery a narušiť vzdialenú komunikáciu.
O nájdených chybách
Najzávažnejšia zraniteľnosť, tzv SACK Panic, je možné využiť zaslaním selektívnej potvrdzovacej sekvencie TCP špeciálne navrhnuté pre zraniteľný počítač alebo server.
Systém bude reagovať zrútením alebo spustením paniky jadra. Úspešné využitie tejto zraniteľnosti označenej ako CVE-2019-11477 má za následok vzdialené odmietnutie služby.
Útoky odmietnutia služby sa pokúšajú spotrebovať všetky kritické prostriedky v cieľovom systéme alebo sieti tak, aby neboli k dispozícii na bežné použitie. Útoky odmietnutia služby sa považujú za významné riziko, pretože môžu ľahko narušiť podnikanie a ich vykonávanie je pomerne jednoduché.
Druhá zraniteľnosť funguje aj odoslaním série škodlivých SACKov (pakety so škodlivým potvrdením), ktoré spotrebúvajú výpočtové zdroje zraniteľného systému. Operácie normálne fungujú fragmentáciou frontu na opakovaný prenos paketov TCP.
Využitie tejto chyby zabezpečenia, sledované ako CVE-2019-11478, závažne zhoršuje výkon systému a môže potenciálne spôsobiť úplné odmietnutie služby.
Tieto dve chyby zabezpečenia využívajú spôsob, akým operačné systémy pracujú so spomínaným programom Selective TCP Awareness (v skratke SACK).
SACK je mechanizmus, ktorý umožňuje počítaču príjemcu komunikácie povedať odosielateľovi, ktoré segmenty boli úspešne odoslané, aby bolo možné vrátiť tie stratené. Zraniteľnosti fungujú preplnením frontu, v ktorom sa ukladajú prijaté pakety.
Tretia zraniteľnosť objavená vo FreeBSD 12 a identifikácia CVE-2019-5599, Funguje to rovnako ako CVE-2019-11478, ale interaguje s kartou RACK na odosielanie tohto operačného systému.
Štvrtá chyba zabezpečenia, CVE-2019-11479., Môže spomaliť postihnuté systémy znížením maximálnej veľkosti segmentu pre pripojenie TCP.
Táto konfigurácia núti zraniteľné systémy odosielať odpovede prostredníctvom viacerých segmentov TCP, z ktorých každý obsahuje iba 8 bajtov údajov.
Zraniteľnosti spôsobujú, že systém spotrebuje veľké množstvo šírky pásma a zdrojov na zníženie výkonu systému.
Medzi vyššie uvedené varianty útokov odmietnutia služby patria povodne ICMP alebo UDP, ktoré môžu spomaliť sieťové operácie.
Tieto útoky spôsobujú, že obeť používa prostriedky ako šírka pásma a systémové vyrovnávacie pamäte na reagovanie na požiadavky útoku na úkor platných požiadaviek.
Vedci Netflixu tieto zraniteľnosti objavili a niekoľko dní ich verejne oznamovali.
Distribúcie systému Linux vydali opravy týchto chýb zabezpečenia alebo majú skutočne užitočné konfiguračné vylepšenia, ktoré ich zmierňujú.
Riešením je blokovanie pripojení s nízkou maximálnou veľkosťou segmentu (MSS), zakázanie spracovania SACK alebo rýchle zakázanie zásobníka TCP RACK.
Tieto nastavenia môžu narušiť autentické pripojenia a ak je zásobník TCP RACK zakázaný, útočník by mohol spôsobiť nákladné reťazenie prepojeného zoznamu pre nasledujúce SACKy získané pre podobné pripojenie TCP.
Na záver si pripomeňme, že sada protokolov TCP / IP bola navrhnutá na prácu v spoľahlivom prostredí.
Tento model bol vyvinutý ako sada flexibilných protokolov odolných voči chybám, ktoré sú dostatočne robustné, aby zabránili poruchám v prípade zlyhania jedného alebo viacerých uzlov.