Un ricercatore di Netflix ha identificato diverse vulnerabilità di rete TCP nei kernel di FreeBSD e Linux che potrebbero innescare attacchi di DoS.
Jonathan Looney, esperto di sicurezza di Netflix, ha individuato tre vulnerabilità di DoS di Linux, due delle quali relative al “minimum segment size” (MSS) e TCP Selective Acknowledgment (SACK) e una relativa solo al MSS.
Il difetto più grave, tracciato come SACK Panic, potrebbe essere sfruttato per attivare in remoto un attacco DOS e riavviare i sistemi vulnerabili. Il difetto di “panic” del kernel riguarda i kernel Linux recenti.
Il DoS SACK Panic è stato identificato con CVE-2019-11477 ed è stato valutato come importante gravità, ricevendo un punteggio sulla scala della severità base di 7,5 CVSS3.
Esistono patch che risolvono la maggior parte di queste vulnerabilità. Tuttavia nel caso non le aveste già applicate ai sistemi l’advisory di Netflix Information Security raccomanda quanto segue:
“Applica la patch PATCH_net_1_4.patch. Inoltre, le versioni del kernel Linux fino al 4.14 incluso, richiedono una seconda patch PATCH_net_1a.patch “.
Di seguito gli avvisi pubblicati dalle principali distribuzioni Linux e dai fornitori di servizi cloud:
Debian;
Red Hat;
Suse;
Ubuntu;
AWS;
La buona notizia quindi per gli utenti Linux è che la maggior parte dei problemi riscontrati da Netflix erano già stati risolti con patch di sicurezza rilasciata.
Le restanti vulnerabilità continuano ad essere monitorate come CVE-2019-11478 e CVE-2019-11479, ed entrambe classificate come vulnerabilità di gravità moderata. I difetti riguardano tutte le versioni di Linux. La CVE-2019-11478 potrebbe essere sfruttabile inviando una sequenza elaborata di SACK che frammenterà la coda di ritrasmissione TCP. Vulnerabilità ed esposizioni comune, CVE-2019-11479 invece, potrebbe essere sfruttato dagli autori di attacchi per attivare attacco DoS inviando pacchetti predisposti con valori MSS bassi per innescare un consumo eccessivo di risorse e quindi saturare i sistemi.
Una ulteriore vulnerabilità, identificata con il cod. CVE-2019-5599. La vulnerabilità nota anche con il nome SACK Slowness, impatta i FreeBSD 12 usando un RACK TCP Stack. Un attaccante può attaccare il sistema inviando una sequenza di SACKs che andrebbe a frammentare la RACK send map, quindi rallentando il sistema.
La vulnerabilità può essere risolta applicando “split_limit.patch e impostando una “net.inet.tcp.rack.split_limit sysctl” su un valore ragionevolmente adeguato per limitare la dimensione della SACK table.”
Fonte: https://securityaffairs.co/wordpress/87244/security/dos-flaws-linux-freebsd.html