Odkryto podatności Linuksa narażające go na zdalne ataki

Prawdopodobnie wystarczy jedynie wysłać systemom Linuksa parę złośliwie spreparowanych pakietów, by je spowolnić lub całkowicie wyłączyć. Jest to skutek odkrytych wczoraj podatności, które zagrażają wszystkim urządzeniom działającym na Linuksie i podłączonym do sieci. W niebezpieczeństwie są również maszyny FreeBSD, które mają takie same podatności..

Wystarczy system Linux podłączony do sieci

Linux obsługuje bardzo szeroką gamę urządzeń, od IoT i inteligentny sprzęt domowy po serwery, komputery, a nawet samochodowe systemy informacyjne i skomplikowane urządzenia do analizy. Wszystkie mogą być obecnie podatne na złośliwe działania.

Co najważniejsze, aby zdalnie zaszkodzić działaniu komputera lub urządzenia, wystarczy jedynie być w stanie otworzyć połączenie z urządzeniem na Linuksie. Jest to możliwe, jeśli na komputerze działa serwer WWW, demon SSH lub inna usługa oparta na TCP. Jeśli Twoje urządzenie nie nasłuchuje na żadnych portach TCP, powinieneś być zupełnie bezpieczny.

Dostępne są łatki i środki łagodzące, które można w razie potrzeby zastosować ręcznie lub poczekać, aż poprawka bezpieczeństwa zostanie wypchnięta lub zaoferowana zagrożonemu urządzeniu. Kluczowym obejściem jest ustawienie /proc/sys/net/ipv4/tcp_sack na 0.

SACK Panic

Źródłem niebezpieczeństwa jest luka programistyczna nazwana SACK Panic czyli CVE-2019-11477 : ten błąd można wykorzystać do zdalnego doprowadzenia do awarii systemów opartych na jądrze Linuksa w wersji 2.6.29 lub nowszej.

Istnieją również trzy inne powiązane luki: spowolnienie SACK, znane również jako CVE-2019-11478 , które dotyczy Jąder Linuksa przed 4.15; drugie takie spowolnienie również jako CVE-2019-5599 , który wpływa na FreeBSD 12 za pomocą stosu TCP RACK; i nadmierne zużycie zasobów, spowodowane niskimi wartościami MSS, znanym również jako CVE-2019-11479 , które dotyczą wszystkich wersji jądra Linux.

Zostały one odkryte i zgłoszone przez Jonathana Looneya z Netflix Security i opisane w poradniku opublikowanym na GitHubie wczoraj.

Źródłem jest funkcja TCP SACK

Wszystkie wspomniane luki wymagają włączonej domyślnie funkcji w Linuksie o nazwie TCP SACK, zaprojektowanej, aby przyspieszyć przesyłanie danych między komputerami. SACK (lub Selective Acknowledgement) pozwala maszynie odbierającej dokładniej informować nadawcę o tym, ile danych odebrał i co musi zostać wysłane ponownie. W idealnej sytuacji oznacza to, że mniej danych musi zostać ponownie przesłanych, a obie maszyny mogą szybciej wymieniać się plikami i innymi informacjami. Niektórzy administratorzy wyłączają tę funkcję z różnych przyczyn, chociażby z powodu słabej implementacji na niektórych systemach operacyjnych.

CVE-2019-11477 sprawia, że ciąg odpowiedzi TCP SACK powoduje, iż Jądro Linuksa nieoczekiwanie dobija do ograniczeń bufora socketu, powodując kernel panic. Następnie dwie luki, jakie zagrażają Linuksowi, zmuszają system do zużywania zasobów, spowalniając go, o czym Red Hat napisali dziś w swoim podsumowaniu technicznym.

Dodatkowo CVE-2019-5599 jest błędem w sposobie, w jaki FreeBSD obsługuje odpowiedzi SACK: możliwe jest fragmentowanie wewnętrznej struktury danych, którą śledzi SACK, powodując przechodzenie przez jądro długich list powiązanych, spowalniając system.

Jak się zabezpieczyć?

Zarówno Red Hat, jak i Amazon Web Services i Grsecurity opublikowali poradniki i instrukcje, jak zapobiec problemom. Najprawdopodobniej w ciągu jednego-dwóch dni powinniśmy dostać oficjalną łatkę. Do tego czasu polecamy kompletne wyłączenie funkcji SACK, choć może to mieć negatywny wpływ na przepustowość Twoich sieci.

Tym niemniej, po oficjalnym opublikowaniu wszystkich wyżej wymienionych CVE, potencjalni złoczyńcy dostali pełną instrukcję, jak uprzykrzać życie administratorom systemów działających na Linuksie.