Bộ giao thức TCP / IP, được phát triển dưới sự bảo trợ của Bộ Quốc phòng Hoa Kỳ, đã tạo ra các vấn đề bảo mật cố hữu cho thiết kế giao thức hoặc cho hầu hết các triển khai TCP / IP.
Kể từ khi nó được tiết lộ rằng tin tặc sử dụng các lỗ hổng này để thực hiện các cuộc tấn công khác nhau vào hệ thống. Các vấn đề điển hình được khai thác trong bộ giao thức TCP / IP là giả mạo IP, quét cổng và từ chối dịch vụ.
Các Các nhà nghiên cứu của Netflix đã phát hiện ra 4 lỗ hổng điều đó có thể tàn phá các trung tâm dữ liệu. Các lỗ hổng này gần đây đã được phát hiện trong hệ điều hành Linux và FreeBSD. Chúng cho phép tin tặc khóa máy chủ và làm gián đoạn liên lạc từ xa.
Về các lỗi được tìm thấy
Lỗ hổng nghiêm trọng nhất, được gọi là SACK Panic, có thể được khai thác bằng cách gửi một chuỗi xác nhận TCP chọn lọc được thiết kế đặc biệt cho một máy tính hoặc máy chủ dễ bị tấn công.
Hệ thống sẽ phản ứng bằng cách gặp sự cố hoặc xâm nhập vào Kernel Panic. Việc khai thác thành công lỗ hổng này, được xác định là CVE-2019-11477, dẫn đến việc từ chối dịch vụ từ xa.
Các cuộc tấn công từ chối dịch vụ cố gắng tiêu thụ tất cả các tài nguyên quan trọng trên hệ thống hoặc mạng mục tiêu để chúng không có sẵn để sử dụng bình thường. Các cuộc tấn công từ chối dịch vụ được coi là một rủi ro đáng kể vì chúng có thể dễ dàng làm gián đoạn hoạt động kinh doanh và tương đối đơn giản để thực hiện.
Lỗ hổng thứ hai cũng hoạt động bằng cách gửi một loạt các SACK độc hại (gói xác nhận độc hại) tiêu thụ tài nguyên máy tính của hệ thống dễ bị tấn công. Các hoạt động thường hoạt động bằng cách phân mảnh một hàng đợi để truyền lại các gói TCP.
Khai thác lỗ hổng này, được theo dõi là CVE-2019-11478, làm suy giảm nghiêm trọng hiệu suất của hệ thống và có thể gây ra tình trạng từ chối dịch vụ hoàn toàn.
Hai lỗ hổng này khai thác cách hệ điều hành xử lý Nhận thức TCP có chọn lọc (viết tắt là SACK) nói trên.
SACK là một cơ chế cho phép máy tính của người nhận thông báo cho người gửi biết những phân đoạn nào đã được gửi thành công, để những phân đoạn bị mất có thể được trả lại. Các lỗ hổng hoạt động bằng cách làm tràn một hàng đợi lưu trữ các gói đã nhận.
Lỗ hổng thứ ba, được phát hiện trong FreeBSD 12 và xác định CVE-2019-5599, Nó hoạt động theo cách tương tự như CVE-2019-11478, nhưng nó tương tác với thẻ gửi RACK của hệ điều hành này.
Lỗ hổng thứ tư, CVE-2019-11479., Có thể làm chậm các hệ thống bị ảnh hưởng bằng cách giảm kích thước phân đoạn tối đa cho kết nối TCP.
Cấu hình này buộc các hệ thống dễ bị tấn công phải gửi phản hồi qua nhiều phân đoạn TCP, mỗi phân đoạn chỉ chứa 8 byte dữ liệu.
Các lỗ hổng khiến hệ thống tiêu tốn một lượng lớn băng thông và tài nguyên làm suy giảm hiệu suất hệ thống.
Các biến thể của cuộc tấn công từ chối dịch vụ nói trên bao gồm ICMP hoặc UDP lũ lụt, có thể làm chậm hoạt động mạng.
Các cuộc tấn công này khiến nạn nhân sử dụng các tài nguyên như băng thông và bộ đệm hệ thống để đáp ứng các yêu cầu tấn công với chi phí là các yêu cầu hợp lệ.
Các nhà nghiên cứu của Netflix đã phát hiện ra những lỗ hổng này và họ đã công bố chúng công khai trong vài ngày.
Các bản phân phối Linux đã phát hành các bản vá cho các lỗ hổng này hoặc có một số tinh chỉnh cấu hình thực sự hữu ích để giảm thiểu chúng.
Các giải pháp là chặn các kết nối có kích thước phân đoạn tối đa thấp (MSS), vô hiệu hóa xử lý SACK hoặc nhanh chóng vô hiệu hóa ngăn xếp TCP RACK.
Các cài đặt này có thể làm gián đoạn các kết nối xác thực và nếu ngăn xếp TCP RACK bị vô hiệu hóa, kẻ tấn công có thể gây ra chuỗi liên kết tốn kém cho danh sách liên kết cho các SACK tiếp theo có được cho một kết nối TCP tương tự.
Cuối cùng, hãy nhớ rằng bộ giao thức TCP / IP đã được thiết kế để hoạt động trong một môi trường đáng tin cậy.
Mô hình đã được phát triển như một tập hợp các giao thức linh hoạt, có khả năng chịu lỗi, đủ mạnh để tránh lỗi trong trường hợp một hoặc nhiều nút bị lỗi.