La suite de protocoles TCP/IP, développée sous le parrainage du département américain de la défense, ne serait pas parfaite. Il existerait des problèmes de sécurité inhérents à la conception du protocole ou à la plupart des implémentations TCP/IP. Les pirates utilisent ces vulnérabilités pour effectuer diverses attaques sur les systèmes. Les problèmes typiques qui sont exploités dans la suite de protocoles TCP/IP sont l’usurpation d’adresses IP, le balayage des ports et les dénis de service. Les chercheurs de Netflix ont découvert 4 failles qui pourraient causer des ravages dans des centres de données. Ces vulnérabilités ont été récemment découvertes dans les systèmes d'exploitation Linux et FreeBSD. Elles permettent aux pirates informatiques de faire planter des serveurs et d'interrompre les communications à distance, ont indiqué des chercheurs.
La plus grave de ces vulnérabilités, appelée SACK Panic, peut être exploitée en envoyant une séquence d'accusés de réception TCP sélective spécialement conçue pour un ordinateur ou pour un serveur vulnérable. Le système réagira en s'effondrant, ou en entrant dans la panique du noyau. Une exploitation réussie de cette vulnérabilité, identifiée en tant que CVE-2019-11477, entraîne un déni de service distant. Notons que les attaques par déni de service tentent de consommer toutes les ressources critiques d’un système cible ou du réseau afin de les rendre indisponibles pour une utilisation normale. Les attaques par déni de service sont considérées comme un risque majeur, car elles peuvent facilement perturber le fonctionnement d'une entreprise et sont relativement simples à mener.
Une deuxième vulnérabilité fonctionne également en envoyant une série de SACK (paquets d'accusés de réception sélectifs) malveillants qui consomme les ressources informatiques du système vulnérable. Les exploitations fonctionnent généralement en fragmentant une file d'attente réservée à la retransmission de paquets TCP. L'exploitation de cette vulnérabilité, suivie sous le nom de CVE-2019-11478, dégrade considérablement les performances du système et peut éventuellement provoquer un déni de service complet.
Ces deux vulnérabilités exploitent la manière dont les systèmes d'exploitation traitent l'acquittement sélectif TCP susmentionné (abrégé SACK). SACK est un mécanisme qui permet à un ordinateur du destinataire d’une communication d’indiquer à l’expéditeur quels segments ont été envoyés avec succès, de sorte que ceux qui ont été perdus puissent être renvoyés. Les exploits fonctionnent en faisant déborder une file d’attente qui stocke les paquets reçus.
La troisième vulnérabilité quant à elle découverte dans FreeBSD 12 et identifier CVE-2019-5599 fonctionne de la même manière que CVE-2019-11478, mais interagit avec la carte d’envoi RACK de ce système d’exploitation.
Une quatrième vulnérabilité, notée CVE-2019-11479, peut ralentir les systèmes affectés en réduisant la taille de segment maximale pour une connexion TCP. Ce paramètre force les systèmes vulnérables à envoyer des réponses sur plusieurs segments TCP, chacun ne contenant que 8 octets de données. Les exploits font que le système consomme de grandes quantités de bande passante et de ressources de manière à dégrader les performances du système.
Les variantes des attaques par déni de service mentionnées précédemment incluent les inondations ICMP ou UDP, qui peuvent ralentir les opérations du réseau. Ces attaques font en sorte que la victime utilise des ressources telles que la bande passante et les tampons système pour répondre aux demandes d’attaque aux dépens des demandes valides.
Des chercheurs de Netflix ont découvert ces vulnérabilités et les ont annoncées publiquement lundi dans une publication coordonnée avec les constructeurs des systèmes d’exploitation concernés. Les distributions Linux ont toutes deux lancé des correctifs pour ces vulnérabilités ou ont des ajustements de configuration vraiment utiles qui les atténuent. Les solutions de contournement impliquent le blocage des connexions avec une taille maximale de segment (MSS) bas, la désactivation du traitement SACK ou la désactivation rapide de la pile RACK TCP. Ces ajustements peuvent rompre les connexions authentiques et, dans le cas où la pile RACK TCP est désactivée, un attaquant pourrait néanmoins provoquer une dégradation coûteuse de la liste chaînée pour les SACK suivants, acquis pour une connexion TCP similaire.
Pour terminer, retenons que la suite de protocoles TCP/IP a été conçue pour fonctionner dans un environnement de confiance. Le modèle a été développé sous la forme d'un ensemble de protocoles flexibles et tolérants aux pannes, suffisamment robustes pour éviter les pannes en cas de défaillance d'un ou plusieurs nœuds. L'accent était mis sur la résolution des problèmes techniques posés par le déplacement rapide et fiable des informations, et non par leur sécurisation. Les concepteurs de ce réseau original n’ont jamais envisagé internet tel qu’il existe aujourd’hui. Le problème étant que la faiblesse est inhérente à la conception même et que son éradication est difficile.
Source : FreeBSD, NIST (1, 2, 3)
Et vous ?
Quel regard portez-vous sur ces observations ?
Voir aussi :
Red Hat découvre trois vulnérabilités dans le noyau Linux qui pourraient nuire aux systèmes Linux, par une attaque du ping de la mort
Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n'est disponible pour le moment
HiddenWasp : un programme malveillant détecté sur Linux, capable de contrôler totalement les machines infectées
De nouvelles vulnérabilités découvertes sur les systèmes Linux et FreeBSD,
Permettant aux pirates d'avoir un contrôle à distance
De nouvelles vulnérabilités découvertes sur les systèmes Linux et FreeBSD,
Permettant aux pirates d'avoir un contrôle à distance
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !