A Netflix identificou várias vulnerabilidades de redes TCP nos kernels do FreeBSD e Linux.
As vulnerabilidades referem-se especificamente aos recursos de tamanho mínimo do segmento (MSS) e Confirmação seletiva de TCP (SACK). O mais sério, apelidado de “SACK Panic”, permite um kernel panic disparado remotamente em kernels recentes do Linux.
Existem patches que abordam a maioria dessas vulnerabilidades. Se os patches não puderem ser aplicados, certas atenuações serão eficazes. Recomendamos que as partes afetadas promulguem uma das descritas abaixo, com base em seu ambiente.
Detalhes:
1: CVE-2019-11477: SACK Panic (Linux >= 2.6.29)
Descrição: Uma sequência de SACKs pode ser criada de forma que seja possível acionar um estouro de inteiro, levando a um pânico no kernel.
Correção: aplique o patch PATCH_net_1_4.patch. Além disso, versões do kernel Linux até, e inclusive, 4.14 requerem um segundo patch PATCH_net_1a.patch.
Solução nº 1: bloqueie conexões com um MSS baixo usando um dos filtros fornecidos. (Os valores nos filtros são exemplos. Você pode aplicar um limite superior ou inferior, conforme apropriado para seu ambiente.) Observe que esses filtros podem quebrar conexões legítimas que dependem de um MSS baixo. Além disso, observe que essa atenuação só é efetiva se o teste TCP estiver desabilitado (ou seja, o net.ipv4.tcp_mtu_probing é definido como 0, que parece ser o valor padrão para esse sysctl).
Solução 2: desabilitar o processamento do SACK ( /proc/sys/net/ipv4/tcp_sack definido como 0)
(Observe que a solução alternativa deve ser suficiente por si só. Não é necessário aplicar as duas soluções alternativas.
2: CVE-2019-11478: Lentidão do Sack (Linux <4.15) ou Uso Excessivo de Recursos (todas as versões do Linux)
Descrição: É possível enviar uma sequência criada de SACKs que fragmentará a fila de retransmissão TCP. Nos kernels Linux anteriores a 4.15, um atacante pode ser capaz de explorar ainda mais a fila fragmentada para causar uma caminhada cara na lista de links para os SACKs subsequentes recebidos para a mesma conexão TCP.
Correção: aplique o patch PATCH_net_2_4.patch
Solução nº 1: bloqueie conexões com um MSS baixo usando um dos filtros fornecidos. (Os valores nos filtros são exemplos. Você pode aplicar um limite superior ou inferior, conforme apropriado para seu ambiente.) Observe que esses filtros podem quebrar conexões legítimas que dependem de um MSS baixo. Além disso, observe que essa atenuação só é efetiva se o teste TCP estiver desabilitado (ou seja, o sysctl net.ipv4.tcp_mtu_probing é definido como 0, que parece ser o valor padrão para esse sysctl).
Solução nº 2: desative o processamento do SACK ( /proc/sys/net/ipv4/tcp_sack definido como 0).
(Observe que a solução alternativa deve ser suficiente por si só. Não é necessário aplicar as duas soluções alternativas.)
3: CVE-2019-5599: Lentidão doSack (FreeBSD 12 usando o RACK TCP Stack)
Descrição: É possível enviar uma sequência criada de SACKs que fragmentará o mapa de envio do RACK. Um invasor pode ser capaz de explorar ainda mais o mapa de envio fragmentado para causar uma caminhada de lista vinculada cara para os SACKs subsequentes recebidos para a mesma conexão TCP.
Solução nº 1: Aplique o patch split_limit.patch e defina o sysctl net.inet.tcp.rack.split_limit como um valor razoável para limitar o tamanho da tabela SACK.
Solução 2: Desative temporariamente a pilha TCP da RACK.
(Observe que a solução alternativa deve ser suficiente por si só. Não é necessário aplicar as duas soluções alternativas.)
4: CVE-2019-11479: Consumo Excessivo de Recursos devido a valores baixos de MSS (todas as versões do Linux)
Descrição: Um invasor pode forçar o kernel do Linux a segmentar suas respostas em vários segmentos TCP, cada um contendo apenas 8 bytes de dados. Isso aumenta drasticamente a largura de banda necessária para fornecer a mesma quantidade de dados. Além disso, consome recursos adicionais (poder de processamento de CPU e NIC). Esse ataque exige esforço contínuo do invasor e os impactos terminarão logo após o invasor parar de enviar tráfego.
Correção: Dois patches PATCH_net_3_4.patch e PATCH_net_4_4.patch adicionam um sysctl que impõe um mínimo de MSS, definido pelo sysctl net.ipv4.tcp_min_snd_mss. Isso permite que um administrador imponha um MSS mínimo apropriado para seus aplicativos.
Solução: Bloqueie conexões com um MSS baixo usando um dos filtros fornecidos. (Os valores nos filtros são exemplos. Você pode aplicar um limite superior ou inferior, conforme apropriado para seu ambiente.) Observe que esses filtros podem quebrar conexões legítimas que dependem de um MSS baixo. Além disso, observe que essa atenuação só é efetiva se o teste TCP estiver desabilitado (ou seja, o sysctl net.ipv4.tcp_mtu_probing é definido como 0, que parece ser o valor padrão para esse sysctl).
Nota:
Boas práticas de codificação e configuração de sistemas e aplicativos (limitando os buffers de gravação ao nível necessário, monitorando o consumo de memória de conexão via SO_MEMINFO e fechando agressivamente conexões mal-comportadas) podem ajudar a limitar o impacto de ataques contra esse tipo de vulnerabilidade.
