Vulnerabilidades DoS en Linux y FreeBSD

Una vulnerabilidad de denegación de servicio en la forma en que los kernels recientes de Linux y FreeBSD manejan la red TCP, podría ser explotada por atacantes remotos, para desencadenar un kernel panic (pánico en el núcleo) en sistemas vulnerables.

En total, Jonathan Looney parte del equipo Seguridad de Netflix encontró tres vulnerabilidades de Linux; dos relacionadas con “el tamaño de segmento mínimo (MSS) y una TCP confirmación selectiva de capacidades (SACK).”

La primera se refiere únicamente a MSS; las más seria ha sido llamada SACK Panic, siendo esta la que puede hacer que los sistemas afectados entren en pánico y se reinicien.

De acuerdo con Red Hat, los problemas que afectan al subsistema de procesamiento TCP del kernel se ha identificado a través de múltipless CVE´s; la primera como CVE-2019-11477 y se le ha asignado una gravedad importante a SACK Panic con una puntuación 7.5 de CVSS3, mientras que  CVE-2019-11478 y CVE- 2019-11479 se consideran vulnerabilidades de gravedad moderada.

Los parches ya están disponibles como se detalla en el aviso de seguridad NFLX-2019-001 de Netflix, y también hay medidas de mitigación disponibles para las máquinas en las que los parches no son una opción inmediata o fácil.

Falla de seguridad SACK Panic

La vulnerabilidad de SACK Panic (Debian, Red Hat, Ubuntu, Suse, AWS) afecta a los kernels de Linux 2.6.29 y posteriores, y puede explotarse “enviando una secuencia diseñada de segmentos SACK en una conexión TCP, con un valor pequeño de TCP MSS” lo que provocará un desbordamiento de enteros.

Para solucionar el problema, “debes aplicar el parche PATCH_net_1_4.patch. Además, las versiones del kernel de Linux hasta 4.14 requieren un segundo parche: PATCH_net_1a.patch”, se afirma en la advertencia del equipo de seguridad de Netflix.

Para mitigar el problema, los usuarios y administradores pueden deshabilitar completamente el procesamiento SACK en el sistema (mediante el establecimiento de /proc/sys/net/ipv4/tcp_sack a 0) o bloqueando conexiones con un bajo SMS usando los filtros proporcionados por el equipo de seguridad de Netflix AQUÍ  – La segunda medida de mitigación solo será efectiva cuando el sondeo de TCP también esté deshabilitado.

Más vulnerabilidades de denegación de servicio

Las otras dos vulnerabilidades afectan a todas las versiones de Linux y han sido identificadas como CVE-2019-11478 (denominada SACK Slowness) que se puede explotar mediante el envío de “una secuencia elaborada de SACK que fragmentará la cola de retransmisión de TCP”, mientras que la CVE-2019-11479 permite que los atacantes activen un estado DoS al enviar “paquetes diseñados con valores de MSS bajos para desencadenar un consumo excesivo de recursos”.

CVE-2019-5599 es la contraparte de FreeBSD de CVE-2019-11478, afecta a las instalaciones de FreeBSD 12 que utilizan RACK TCP Stack y puede explotarse al entregar “una secuencia de SACK’s diseñada que fragmentará el mapa de envío de RACK”.

Afortunadamente, como lo explica FreeBSDHelp, FreeBSD 12 no tiene RACK habilitado de forma predeterminada y requiere que se active un kernel personalizado.

Los administradores y usuarios de Linux y FreeBSD pueden arreglar la primera vulnerabilidad  aplicando el  PATCH_net_2_4.patch, y la segunda con los   parches de seguridad PATCH_net_3_4.patch y PATCH_net_4_4.patch . CVE-2019-5599 puede parchearse aplicando “split_limit.patch”  y configurando net.inet.tcp.rack.split_limit sysctl a un valor razonable para limitar el tamaño de la tabla SACK”.

Como soluciones alternativas, tanto CVE-2019-11478 como CVE-2019-11479 se pueden mitigar bloqueando las conexiones de red remotas con un MSS bajo con los filtros que el equipo de seguridad de Netflix ha liberado. La vulnerabilidad de FreeBSD se puede mitigar simplemente desactivando RACK TCP.

“Se entiende que el alcance del impacto está limitado a la denegación de servicio en este momento. Actualmente no se sospecha una escalada de privilegios ni una fuga de información”, dice Red Hat.

Recomendaciones

“Las buenas prácticas de programación y configuración de sistemas y aplicaciones (limitar los buffers de escritura al nivel necesario, monitorear el consumo de la memoria de conexión a través de SO_MEMINFO y cerrar agresivamente las conexiones que se comportan mal) pueden ayudar a limitar el impacto de los ataques contra este tipo de vulnerabilidades”, señala la unidad de seguridad informática de Netflix en su consultoría.