SACK Panic: la vulnerabilidad detectada por Netflix

SACK Panic: la vulnerabilidad detectada por Netflix que lleva en Linux más de 10 años

Aunque por lo general cuando hablamos de vulnerabilidades o fallos de seguridad solemos hacer referencia a Windows, los demás sistemas operativos, como Linux y macOS, también suelen verse afectados por importantes fallos que pueden poner en peligro la seguridad y estabilidad de los equipos o servidores que los ejecutan. Hoy es es turno de hablar de SACK Panic, una de las 3 nuevas vulnerabilidades encontradas en Linux por investigadores de Netflix que llevan poniendo en peligro los sistemas desde hace más de 10 años.

Un investigador de seguridad de Netflix daba a conocer hace algunas horas una serie de vulnerabilidades que había descubierto en el Kernel Linux y que afectaba a cualquier distribución basada en Linux, así como a FreeBSD. Estos fallos se encuentran en la forma en la que el Kernel Linux procesa las conexiones TCP y, al explotarlas, puede dar lugar a un Kernel Panic, el equivalente al pantallazo azul de Linux.

SACK Panic es la vulnerabilidad más importante y crítica de estas 3. Esta ha sido registrada como CVE-2019-11477 y ha sido considerada como de peligrosidad importante con una nota de 7.5 sobre 10 en CVSS3. Las otras dos vulnerabilidades, CVE-2019-11478 y CVE-2019-11479, han sido consideradas como vulnerabilidades de peligrosidad moderada.


SACK Panic: la vulnerabilidad que puede generar un Kernel Panic en tu ordenador o servidor


Como hemos dicho, la vulnerabilidad más grave de las 3 encontradas por los investigadores de Netflix es SACK Panic. Este fallo de seguridad afecta a cualquier distro Linux o servidor que utilice este sistema operativo, como Ubuntu, Debian, Red Hat, SUSE o AWS, entre otros, con un Kernel 2.6.29 o posterior.

Para explotar el fallo de seguridad simplemente hay que enviar una secuencia de segmentos SACK a una conexión TCP especialmente diseñada que cuenten con un valor bajo de MSS. Esto hace que los enteros se desborden y, por lo tanto, se genere un Kernel Panic en el sistema, forzando un reinicio del mismo.

SACK Slowness y el otro fallo de seguridad

Aunque SACK Panic es la vulnerabilidad más grave, también se han dado a conocer otros dos fallos de seguridad que afectan al Kernel Linux.

El segundo de los fallos ha sido denominado como SACK Slowness (CVE-2019-11478), y se puede explotar fácilmente enviando una secuencia elaborada de paquetes SACK para fragmentar la cola de retransmisión de la conexión TCP.

El tercero de los fallos no tiene un nombre como tal, pero ha sido registrado como CVE-2019-11479. Este fallo permite a un atacante realizar un ataque DoS a un sistema enviando paquetes con un valor bajo de MSS para disparar el consumo de recursos en el sistema.

Por el momento ninguna de las 3 vulnerabilidades tiene logotipo oficial ni una página web donde se expliquen con detalle estos fallos. Si queremos conocer más información detallada sobre los fallos, podemos verlos en el boletín de seguridad de Netflix, publicado en GitHub.


Cómo protegernos de SACK Panic


Bajo el boletín de seguridad NFLX-2019-001, Netflix ha publicado sus correspondientes parches de seguridad para solucionar estas vulnerabilidades en el Kernel Linux.

La mejor forma de protegerse de estos problemas es instalando estos parches tan pronto como sea posible, aunque la instalación manual puede ser un poco complicada para algunos usuarios. Si no queremos complicarnos, es mejor esperar un poco a que llegue una nueva versión del Kernel Linux que ya incluya estos parches y nos permitan estar protegidos.

Además, si queremos protegernos manualmente, también podemos deshabilitar SACK cambiando el valor de /proc/sys/net/ipv4/tcp_sack a 0 (cero) de manera que esta característica quede desactivada y no se pueda explotar la vulnerabilidad.






Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es superguai este error. Me recuerda muchísimo al ping de la muerte, aunque hay que mantener un flujo de datos, pero el error de overflow en la pila de protocolos tiene sabor a ese clásico error.

A ver si HBO sale a la par y destapa alguna otra vulnerabilidad crítica