TCP / IP-protokollsviten, utvecklat under beskydd av Förenta staternas försvarsdepartement, har genererat inneboende säkerhetsproblem till protokolldesignen eller till de flesta TCP / IP-implementeringar.
Eftersom det har avslöjats att hackare använder dessa sårbarheter att utföra olika attacker på system. Typiska problem som utnyttjas i TCP / IP-paketet med protokoll är IP-förfalskning, portavsökning och förnekande av tjänst.
mycket Netflix-forskare har upptäckt fyra brister som kan orsaka kaos i datacenter. Dessa sårbarheter har nyligen upptäckts i Linux- och FreeBSD-operativsystem. De tillåter hackare att låsa ner servrar och störa fjärrkommunikation.
Om buggarna hittades
Den allvarligaste sårbarheten, kallad SACK Panic, kan utnyttjas genom att skicka en selektiv TCP-bekräftelsessekvens speciellt utformad för en sårbar dator eller server.
Systemet kommer att reagera genom att krascha eller komma in i Kernel Panic. Framgångsrikt utnyttjande av denna sårbarhet, identifierad som CVE-2019-11477, resulterar i ett fjärröverslag av tjänst.
Denial of service-attacker försöker konsumera alla kritiska resurser i ett målsystem eller nätverk så att de inte är tillgängliga för normalt bruk. Att förneka tjänster betraktas som en betydande risk eftersom de lätt kan störa ett företag och är relativt enkla att utföra.
En andra sårbarhet fungerar också genom att skicka en serie skadliga SACK (skadliga bekräftelsepaket) som förbrukar datorns resurser i det utsatta systemet. Operationerna fungerar normalt genom att fragmentera en kö för återöverföring av TCP-paket.
Utnyttjande av denna sårbarhet, spårad som CVE-2019-11478, försämrar systemets prestanda allvarligt och kan potentiellt orsaka fullständig förnekelse av tjänsten.
Dessa två sårbarheter utnyttjar hur operativsystem hanterar den ovan nämnda Selective TCP Awareness (SACK för kort).
SACK är en mekanism som gör det möjligt för en kommunikationsmottagares dator att berätta avsändaren vilka segment som har skickats framgångsrikt, så att de som har gått förlorade kan returneras. Sårbarheterna fungerar genom att överfylla en kö som lagrar mottagna paket.
Den tredje sårbarheten upptäcktes i FreeBSD 12 och identifiera CVE-2019-5599, Det fungerar på samma sätt som CVE-2019-11478, men interagerar med RACK-sändkortet för detta operativsystem.
En fjärde sårbarhet, CVE-2019-11479., Kan sakta ner berörda system genom att minska den maximala segmentstorleken för en TCP-anslutning.
Denna konfiguration tvingar sårbara system att skicka svar över flera TCP-segment, var och en innehåller endast 8 byte data.
Sårbarheterna gör att systemet förbrukar stora mängder bandbredd och resurser för att försämra systemets prestanda.
De ovannämnda varianterna av denial of service-attacker inkluderar ICMP- eller UDP-översvämningar, vilket kan sakta ner nätverksdriften.
Dessa attacker gör att offret använder resurser som bandbredd och systembuffertar för att svara på attackförfrågningar på bekostnad av giltiga förfrågningar.
Netflix-forskare upptäckte dessa sårbarheter och de meddelade dem offentligt i flera dagar.
Linux-distributioner har släppt korrigeringsfiler för dessa sårbarheter eller har några riktigt användbara konfigurationsjusteringar som mildrar dem.
Lösningarna är att blockera anslutningar med låg maximal segmentstorlek (MSS), inaktivera SACK-bearbetning eller snabbt inaktivera TCP RACK-stacken.
Dessa inställningar kan störa autentiska anslutningar, och om TCP RACK-stacken är inaktiverad kan en angripare orsaka kostsam kedjning av den länkade listan för efterföljande SACK som erhållits för en liknande TCP-anslutning.
Slutligen, låt oss komma ihåg att TCP / IP-protokollsviten har utformats för att fungera i en pålitlig miljö.
Modellen har utvecklats som en flexibel, feltolerant uppsättning protokoll som är tillräckligt robusta för att undvika fel i händelse av en eller flera nodfel.