Mikrotik RouterOS+Linux – aktualizujte!

Aktualizujte RoS na verzi 6.45.1 (stable) nebo vyšší.

Nejde tak o chybu kterou by udělali programátoři při vývoji RoS ale jde o chybu nalezenou lidmi z Netflixu týkající se Linuxového a FreeBSD kernelu. Asi nemusím zmiňovat že celý RoS je na Linuxu postaven tak že se ho tato chyba tímpádém týká. Konkrétně, jde o chybu TCPIP stacku, který se zabývá funkcí Maximum Segment Size (MSS) a TCP Selective ACKnowledgement (SACK). Zabývat se budu pouze Linuxovým kernelem (ne FreeBSD). Původní zdroj s podrobým popisem i pro FreeBSD je k dispozici v uvedeném linku výše. Tímto útokem lze na dálku po síti crashnout starší linuxové systémy a u novějších to způsobí jejich zpomalení.


SACK Panic (CVE-2019-11477)

Speciálně vytvořená sekvence SACK může způsobit kernel panic důsledkem přetečení celočíselné proměnné (integer overflow). Týká se všech kernelů verze 2.6.29 až po 4.14.

Workaround #1:

Zablokujte všechna spojení s nízkým MSS pomocí iptables firewallu, nebo ekvivaltením nastavení dle toho co používáte jako filtr ve svém systému. Příklad syntaxe pro iptables:

iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
ip6tables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Jde o příklad, nejde o univerzální parametr vždy zvažte co je pro vaše prostředí vhodné. Pozor: toto nastavení může rozbít legitimní pokusy o spojení, které používají nízké MSS. Například různá pomalá přípojení či technologie, které mají by-default nízké MSS. Spadají sem například staré bezrátové spoje či sem může spadnou WiFi pokud máte špatný signál! Také pozor že tato mitigace funguje jen v případě pokud je TCP Probing vypnuté net.ipv4.tcp_mtu_probing=0 , což by default ve sysctl je.

Workaround #2:

Vypněte SACK processing nastavením 0 v:

/proc/sys/net/ipv4/tcp_sack

Pro zamezení tohoto útoku stačí provést pouze jeden ze zmíněných workaroundů.


SACK Slowness (CVE-2019-11478)

Speciálně vytvořená sekvence SACK způsobí fragmentaci v TCP retransmission queue. U kernelů starších verze 4.15 může útočník nadále zneužít zranitelnosti k vyčtení SACK odpovědí z toho samého TCP spojení.

Workaround #1 a #2:

Stejné jako v předchozím případě SACK panic, stačí opět aplikovat pouze jeden z nich.


Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)

Útočník může donutit vzdálený linuxový kernel k segmentaci odpovědí do více TCP segmentů. Každý z nich bude obsahovat pouze 8 bajtů dat. Způsobí to zvýšené nároky na pásmo pro doručení stejného množství dat. To ve výsledků vede k větší spotřebě systémových prostředku výkonu CPU a síťové karty. Tento typ útoku vyžaduje konstantní posílání speciální sekvence tzn. lze jej docela dobře odhalit a zablokovat. Problém zmizí jakmile útok přestane ať už kvůli tomu že to útočník vzdal či jste to zablokovali ve firewallu.

Workaround #1:

Aplikujte stejný postup jako u SACK panic případu zablokováním nízkých MSS ve firewallu.


Mikrotik

Jak jsem napsal v úvodu, stačí upgradovat na verzi 6.45.1 nebo vyšší, která má fix na tento problém už v sobě. Pokud z nějakého důvodu nemůžete na vyšší verzi upgradovat tak využijte firewallová pravidla uvedená výše zablokováním nízkých hodnot MSS v chainu INPUT. Vyplatí se také držet zásad pro zabezečení routeru přímo od Mikrotiku.


Debian Linux

Níže jsou linky na security tracker Debianu, kde lze nalézt seznam postižených a opravených verzí kernelů. V řádku “Source” na těchto stránkách jsou odkazy na security trackery dalších Linuxových distribucí.

Štítky , , , , , , , , , , , .Záložka pro permanentní odkaz.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *