- A+
四个漏洞可能会使用拒绝服务攻击“破解”连接的设备。
Netflix研究人员在FreeBSD和Linux内核中发现了多个基于TCP的远程拒绝服务漏洞。 利用漏洞会中断TCP连接,因此流内容会流向易受攻击的基于Linux的PC(例如,在暴饮暴食方面存在压力)。 攻击者还可以禁用与易受攻击的Linux物联网小工具的连接,使其脱机。
首先,在Linux内核处理TCP网络时发现了三个相关的漏洞拒绝服务(DoS)。 根据周一发布的一份公告,前两个与TCP选择性确认(SACK)数据包和最大段大小参数相结合,第三个与最大段大小参数相关。
最严重的漏洞( CVE-2019-11477 ,被称为SACK Panic)会影响Linux内核2.6.29及更高版本。 它可能允许远程攻击者在运行受影响软件的系统中触发内核崩溃,从而影响系统的可用性。
Netflix 在周一发布的咨询报告中称,“可能会制作一系列SACK,以便可以触发整数溢出,从而导致内核恐慌。”
根据趋势科技周二发表的一篇文章,“内核恐慌是一个致命的错误 ,操作系统无法快速或轻松地恢复。” “恐慌中的操作系统在计算机屏幕上显示错误消息,并将内核内存的内容写入磁盘以供以后调试。 然后将停止所有CPU操作。“
PATCH_net_1_4.patch缓解了这个问题; 此外,Linux内核的版本(包括4.14)需要第二个补丁PATCH_net_1a.patch。
另一个问题, CVE-2019-11478 ,导致Linux版本低于4.15的SACK缓慢,或资源使用过多(所有Linux版本都受到影响)。 PATCH_net_2_4.patch解决了这个问题。
“有可能发送一个精心设计的SACK序列,它会破坏TCP重传队列,”Netflix解释说。 “在4.15之前的Linux内核上,攻击者可能能够进一步利用分段队列,为后续针对同一TCP连接接收的SACK引起昂贵的链表行走。”
最后,由于所有Linux版本中的MSS值较低, CVE-2019-11479会导致资源消耗过多。
“攻击者可以强迫Linux内核将其响应分段为多个TCP段,每个段只包含8个字节的数据,”Netflix解释说。 “这大大增加了提供相同数据量所需的带宽。 此外,它消耗额外的资源(CPU和NIC处理能力)。 此攻击需要攻击者不断努力,攻击将在攻击者停止发送流量后立即结束。“
两个补丁,PATCH_net_3_4.patch和PATCH_net_4_4.patch,它们添加了一项功能,允许管理员强制执行适合其应用程序的最小MSS,从而解决该问题。
作为所有三个问题的解决方法,用户还可以完全禁用SACK处理,或使用其中一个提供的过滤器阻止与低MSS的连接。
“请注意,这些过滤器可能会破坏依赖低MSS的合法连接,”该公告称。 “另外,请注意,此缓解仅在禁用TCP探测时有效(即net.ipv4.tcp_mtu_probing sysctl设置为0,这似乎是该sysctl的默认值)。”
同时,如果使用RACK TCP堆栈,第四个问题CVE-2019-5599会导致FreeBSD 12中的SACK缓慢。
“有可能发送一个精心设计的SACK序列,这将破坏RACK发送地图,”Netflix的研究人员指出。 “攻击者可能能够进一步利用碎片发送映射,为后续针对同一TCP连接接收的SACK导致昂贵的链表行走。”
作为一种变通方法,用户可以应用split_limit.patch,这允许他们设置合理的值来限制SACK表的大小。 他们还可以暂时禁用RACK TCP堆栈。
“良好的系统和应用程序编码和配置实践(将写入缓冲区限制在必要的级别,通过SO_MEMINFO监视连接内存消耗,以及积极关闭行为不当的连接)可以帮助限制攻击对这些漏洞的影响,”Netflix补充说。
到目前为止, 红帽 , 亚马逊网络服务 , SUSE和Grsecurity已就其内核实施问题发布了建议。
勒索 软件正在崛起: 不要错过 6月19日美国东部时间下午2点在勒索软件威胁形势下的 免费 威胁 邮件网络研讨会 。 加入 Threatpost 和来自Malwarebytes,Recorded Future和Moss Adams的专家小组讨论 如何管理与这种独特攻击类型相关的风险, 独家 洞察勒索软件前沿的 新发展以及如何保持领先于攻击者。
