SegmentSmack – czyli slow DoS przez sieć na Linuksy

08 sierpnia 2018, 11:15 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Większość osób zakłada, że ciężko znaleźć większą podatność w tak popularnym komponencie jak obsługa stosu TCP/IP pod Linuksem. A tu niespodzianka. Podatność SegmentSmack, dotykająca jąder 4.9 w górę (2016 rok) umożliwia zabicie docelowej maszyny (wysycenie na ~100 % procesora) ruchem rzędu 2 tysiące pakietów na sekundę (więc atak jest relatywnie „slow”).

Do odpalenia ataku wymagane jest nawiązanie połączenia TCP z ofiarą (prawdopodobnie na w zasadzie dowolny port).

Dodatkowo problematyczny, może być fakt, że bardzo duża liczba producentów sprzętu korzysta z podatnej wersji kerneli. Wg cert.org liczby te idą w dziesiątki, i na liście znajdziemy m.in. Junipera, Mikrotika, Ubiquiti, Cisco… czego zresztą tam nie ma. Choć warto na pewno zaznaczyć, że automatem nie wszystkie urządzenia wskazanych producentów są podatne (niektóre mogą mieć odpowiednio stare kernele :)

Czy windowsiarze mogą spać spokojnie? Niepokojąca jest informacja publikowana przez Amazona:

AWS is aware of a recently-disclosed security issue, commonly referred to as SegmentSmack, which affects the TCP processing subsystem of several popular operating systems including Linux.

Jedyną możliwością pozbycia się problemu jest aktualizacja jądra systemu operacyjnego (lub nie udostępnianie żadnych portów TCP na zewnątrz ;)

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jarek

    Urządzenia sieciowe fizyczne zazwyczaj mają własne stosy sieciowe w przestrzeni użytkownika, coś jak DPDK.

    Odpowiedz
  2. gosc

    Ciekawa podatność, zwłaszcza ze może pokazać kolejne podatności.
    Ciekawe czemu podatnosc dotyka od kerneli 4.9 ? Przypadek ?
    Ale ogólnie …
    Czy ktoś może hobbystycznie bada, skąd się biorą te wszystkie dziury w kernelu?
    Chodzi mi o statystyki, kto tworzy ich najwięcej.

    Odpowiedz
  3. gosc

    Jak już piszemy o podatnościach, to w kernelu mogą one występować bo kernel ciągle się rozwija i powiększa. Szokować może tylko ilość znalezionych dziur bezpieczeństwa każdego roku.

    Czy zastanawialiście się dlaczego bezpieczeństwo SSL trzeba ciągle poprawiać o nowe wersje ? O dotacje chodzi ?
    https://pl.wikipedia.org/wiki/Transport_Layer_Security

    A pamiętacie co to jest kolizja w haszach ?
    http://valerieaurora.org/hash.html
    I dlaczego są nie do uniknięcia ? Moze w SSL jest tak samo ?

    Odpowiedz
  4. gosc
    Odpowiedz

Odpowiedz