TCP “SACK Panic” – Vulnerabilidades no Kernel do Linux descobertas por um Engenheiro da Netflix

2911

Artigo escrito por Ronaldo Júnior .


Na semana do AngoTIC 2019, chegam-nos notícias pouco animadoras no que a segurança das TIC diz respeito. Três vulnerabilidades correlacionadas que afetam gravemente o kernel dos Sistemas Operativos baseados no Linux e FreeBSD, foram descobertas por Jonathan Looney, Engenheiro da Netflix Information Security e tornadas públicas no passado dia 17.

A criticidade do assunto levou até mesmo nomes sonantes no mundo das tecnologias como RedHat, Amazon Web Services, SUSE e UBUNTU a emitirem de forma célere os respectivos comunicados de segurança.

O grande responsável por tamanho alvoroço é o tão bem conhecido Protocolo de Controlo de Transmissão – TCP, cujas capacidades de Confirmação Seletiva (Selective Acknowledgement – SACK) e controlo do Tamanho Máximo do Segmento (Maximum Segment Size – MSS), permitem ataques remotos capazes de deixar indisponíveis os serviços que estiverem a correr sobre distribuições Linux e FreeBSD.

As vulnerabilidades são apresentadas já com o ID do Common Vulnerabilities and Exposures – CVE e indicando as versões do kernel afetadas:

1- “SACK Panic” CVE-2019-11477 (kernel Linux >= 2.6.29): considerada uma vulnerabilidade crítica, pois permite que o atacante crie uma sequência de SACKs, de tal forma que podem despoletar um kernel panic, o que leva a uma indisponibilidade total dos serviços “DoS”.

2- “SACK Slowness” CVE-2019-11478 (Linux < 4.15) & CVE-2019-5599 (FreeBSD 12 RACK TCP Stack): vulnerabilidade moderada que afeta tanto o Linux como o FreeBSD, no entanto, em ambos sistemas o atacante pode ser capaz de explorar a fila de retransmissão TCP fragmentada e adicionar custos a lista de links para os SACKs subsequentes recebidos na mesma conexão TCP. Esta vulnerabilidade é igualmente denominada de Excess Resource Usage.

3- “Excess Resource Consumption Due to Low MSS Values” CVE-2019-11479: vulnerabilidade moderada que afeta todas as versões do kernel Linux, onde o atacante pode forçar o kernel a segmentar suas respostas em vários segmentos TCP, cada um contendo apenas 8 bytes de dados, o que aumenta drasticamente a largura de banda necessária para enviar os dados.

Como nem tudo são más notícias, a própria equipa da Netflix Information Security bem como a RedHat, SUSE, UBUNTU e outros players, têm já publicadas algumas formas de mitigação, colocando a disposição da comunidade scripts e soluções alternativas que permitem corrigir estas vulnerabilidades. Por isso, caros Administradores de Sistemas vamos arregaçar as mangas e colocar as mão na massa para evitar danos futuros aos nossos sistemas informáticos.

Referências:

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui