Aktualizujte RoS na verzi 6.45.1 (stable) nebo vyšší.
Nejde tak o chybu kterou by udělali programátoři při vývoji RoS ale jde o chybu nalezenou lidmi z Netflixu týkající se Linuxového a FreeBSD kernelu. Asi nemusím zmiňovat že celý RoS je na Linuxu postaven tak že se ho tato chyba tímpádém týká. Konkrétně, jde o chybu TCPIP stacku, který se zabývá funkcí Maximum Segment Size (MSS) a TCP Selective ACKnowledgement (SACK). Zabývat se budu pouze Linuxovým kernelem (ne FreeBSD). Původní zdroj s podrobým popisem i pro FreeBSD je k dispozici v uvedeném linku výše. Tímto útokem lze na dálku po síti crashnout starší linuxové systémy a u novějších to způsobí jejich zpomalení.
SACK Panic (CVE-2019-11477)
Speciálně vytvořená sekvence SACK může způsobit kernel panic důsledkem přetečení celočíselné proměnné (integer overflow). Týká se všech kernelů verze 2.6.29 až po 4.14.
Workaround #1:
Zablokujte všechna spojení s nízkým MSS pomocí iptables firewallu, nebo ekvivaltením nastavení dle toho co používáte jako filtr ve svém systému. Příklad syntaxe pro iptables:
iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
ip6tables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROPJde o příklad, nejde o univerzální parametr vždy zvažte co je pro vaše prostředí vhodné. Pozor: toto nastavení může rozbít legitimní pokusy o spojení, které používají nízké MSS. Například různá pomalá přípojení či technologie, které mají by-default nízké MSS. Spadají sem například staré bezrátové spoje či sem může spadnou WiFi pokud máte špatný signál! Také pozor že tato mitigace funguje jen v případě pokud je TCP Probing vypnuté net.ipv4.tcp_mtu_probing=0 , což by default ve sysctl je.
Workaround #2:
Vypněte SACK processing nastavením 0 v:
/proc/sys/net/ipv4/tcp_sackPro zamezení tohoto útoku stačí provést pouze jeden ze zmíněných workaroundů.
SACK Slowness (CVE-2019-11478)
Speciálně vytvořená sekvence SACK způsobí fragmentaci v TCP retransmission queue. U kernelů starších verze 4.15 může útočník nadále zneužít zranitelnosti k vyčtení SACK odpovědí z toho samého TCP spojení.
Workaround #1 a #2:
Stejné jako v předchozím případě SACK panic, stačí opět aplikovat pouze jeden z nich.
Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)
Útočník může donutit vzdálený linuxový kernel k segmentaci odpovědí do více TCP segmentů. Každý z nich bude obsahovat pouze 8 bajtů dat. Způsobí to zvýšené nároky na pásmo pro doručení stejného množství dat. To ve výsledků vede k větší spotřebě systémových prostředku výkonu CPU a síťové karty. Tento typ útoku vyžaduje konstantní posílání speciální sekvence tzn. lze jej docela dobře odhalit a zablokovat. Problém zmizí jakmile útok přestane ať už kvůli tomu že to útočník vzdal či jste to zablokovali ve firewallu.
Workaround #1:
Aplikujte stejný postup jako u SACK panic případu zablokováním nízkých MSS ve firewallu.
Mikrotik
Jak jsem napsal v úvodu, stačí upgradovat na verzi 6.45.1 nebo vyšší, která má fix na tento problém už v sobě. Pokud z nějakého důvodu nemůžete na vyšší verzi upgradovat tak využijte firewallová pravidla uvedená výše zablokováním nízkých hodnot MSS v chainu INPUT. Vyplatí se také držet zásad pro zabezečení routeru přímo od Mikrotiku.
Debian Linux
Níže jsou linky na security tracker Debianu, kde lze nalézt seznam postižených a opravených verzí kernelů. V řádku “Source” na těchto stránkách jsou odkazy na security trackery dalších Linuxových distribucí.