De nouvelles vulnérabilités découvertes sur les systèmes Linux et FreeBSD,
Permettant aux pirates d'avoir un contrôle à distance

Le , par Bruno

128PARTAGES

13  0 
La suite de protocoles TCP/IP, développée sous le parrainage du département américain de la défense, ne serait pas parfaite. Il existerait des problèmes de sécurité inhérents à la conception du protocole ou à la plupart des implémentations TCP/IP. Les pirates utilisent ces vulnérabilités pour effectuer diverses attaques sur les systèmes. Les problèmes typiques qui sont exploités dans la suite de protocoles TCP/IP sont l’usurpation d’adresses IP, le balayage des ports et les dénis de service. Les chercheurs de Netflix ont découvert 4 failles qui pourraient causer des ravages dans des centres de données. Ces vulnérabilités ont été récemment découvertes dans les systèmes d'exploitation Linux et FreeBSD. Elles permettent aux pirates informatiques de faire planter des serveurs et d'interrompre les communications à distance, ont indiqué des chercheurs.


La plus grave de ces vulnérabilités, appelée SACK Panic, peut être exploitée en envoyant une séquence d'accusés de réception TCP sélective spécialement conçue pour un ordinateur ou pour un serveur vulnérable. Le système réagira en s'effondrant, ou en entrant dans la panique du noyau. Une exploitation réussie de cette vulnérabilité, identifiée en tant que CVE-2019-11477, entraîne un déni de service distant. Notons que les attaques par déni de service tentent de consommer toutes les ressources critiques d’un système cible ou du réseau afin de les rendre indisponibles pour une utilisation normale. Les attaques par déni de service sont considérées comme un risque majeur, car elles peuvent facilement perturber le fonctionnement d'une entreprise et sont relativement simples à mener.

Une deuxième vulnérabilité fonctionne également en envoyant une série de SACK (paquets d'accusés de réception sélectifs) malveillants qui consomme les ressources informatiques du système vulnérable. Les exploitations fonctionnent généralement en fragmentant une file d'attente réservée à la retransmission de paquets TCP. L'exploitation de cette vulnérabilité, suivie sous le nom de CVE-2019-11478, dégrade considérablement les performances du système et peut éventuellement provoquer un déni de service complet.

Ces deux vulnérabilités exploitent la manière dont les systèmes d'exploitation traitent l'acquittement sélectif TCP susmentionné (abrégé SACK). SACK est un mécanisme qui permet à un ordinateur du destinataire d’une communication d’indiquer à l’expéditeur quels segments ont été envoyés avec succès, de sorte que ceux qui ont été perdus puissent être renvoyés. Les exploits fonctionnent en faisant déborder une file d’attente qui stocke les paquets reçus.

La troisième vulnérabilité quant à elle découverte dans FreeBSD 12 et identifier CVE-2019-5599 fonctionne de la même manière que CVE-2019-11478, mais interagit avec la carte d’envoi RACK de ce système d’exploitation.

Une quatrième vulnérabilité, notée CVE-2019-11479, peut ralentir les systèmes affectés en réduisant la taille de segment maximale pour une connexion TCP. Ce paramètre force les systèmes vulnérables à envoyer des réponses sur plusieurs segments TCP, chacun ne contenant que 8 octets de données. Les exploits font que le système consomme de grandes quantités de bande passante et de ressources de manière à dégrader les performances du système.


Les variantes des attaques par déni de service mentionnées précédemment incluent les inondations ICMP ou UDP, qui peuvent ralentir les opérations du réseau. Ces attaques font en sorte que la victime utilise des ressources telles que la bande passante et les tampons système pour répondre aux demandes d’attaque aux dépens des demandes valides.

Des chercheurs de Netflix ont découvert ces vulnérabilités et les ont annoncées publiquement lundi dans une publication coordonnée avec les constructeurs des systèmes d’exploitation concernés. Les distributions Linux ont toutes deux lancé des correctifs pour ces vulnérabilités ou ont des ajustements de configuration vraiment utiles qui les atténuent. Les solutions de contournement impliquent le blocage des connexions avec une taille maximale de segment (MSS) bas, la désactivation du traitement SACK ou la désactivation rapide de la pile RACK TCP. Ces ajustements peuvent rompre les connexions authentiques et, dans le cas où la pile RACK TCP est désactivée, un attaquant pourrait néanmoins provoquer une dégradation coûteuse de la liste chaînée pour les SACK suivants, acquis pour une connexion TCP similaire.

Pour terminer, retenons que la suite de protocoles TCP/IP a été conçue pour fonctionner dans un environnement de confiance. Le modèle a été développé sous la forme d'un ensemble de protocoles flexibles et tolérants aux pannes, suffisamment robustes pour éviter les pannes en cas de défaillance d'un ou plusieurs nœuds. L'accent était mis sur la résolution des problèmes techniques posés par le déplacement rapide et fiable des informations, et non par leur sécurisation. Les concepteurs de ce réseau original n’ont jamais envisagé internet tel qu’il existe aujourd’hui. Le problème étant que la faiblesse est inhérente à la conception même et que son éradication est difficile.

Source : FreeBSD, NIST (1, 2, 3)

Et vous ?

Quel regard portez-vous sur ces observations ?

Voir aussi :

Red Hat découvre trois vulnérabilités dans le noyau Linux qui pourraient nuire aux systèmes Linux, par une attaque du ping de la mort

Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n'est disponible pour le moment

HiddenWasp : un programme malveillant détecté sur Linux, capable de contrôler totalement les machines infectées

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de NotAèfka
Membre régulier https://www.developpez.com
Le 23/06/2019 à 9:44
C'est normal qu'on découvre des vulnérabilités sur les systèmes open sources. C'est justement l'intérêt. Le fait qu'elles soient découvertes est une bonne chose car cela permet la correction.
2  0 
Avatar de FatAgnus
Membre confirmé https://www.developpez.com
Le 24/06/2019 à 11:10
L'article donne comme sous-titre « Permettant aux pirates d'avoir un contrôle à distance », si ces failles permettent une panique du noyau ou une attaque par déni de service, on ne peut pas vraiment parler d'un contrôle à distance.
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 24/06/2019 à 12:35
Citation Envoyé par FatAgnus Voir le message
ces failles permettent une panique du noyau ou une attaque par déni de service, on ne peut pas vraiment parler d'un contrôle à distance.
il y a une faille, si on injecte "un peu n'importe quoi" (mais pas tout à fait) dedans on obtient un kernel panic ou un refus de service, et des fois si on prend soin d'injecter un truc soigneusement étudié on arrive à faire exécuter du code, on a donc plus de refus de service ou il est au moins retardé le temps qu'on puisse exécuter une charge utile

à l'époque un copain très bon en fuzzing et beaucoup moins en exploitation avait trouvé un DoS dans SMBv2 dans le noyau Windows, il s'est avéré que c'était exploitable et pas seulement un refus de service, permettant un accès à distance...
1  0 
Avatar de turban
Nouveau Candidat au Club https://www.developpez.com
Le 14/07/2019 à 9:57
Bonjour à tous,
Il n'y a pas lieu de paniquer comme le noyau, tous les intervenants à linux vont corriger ce soucis et c'est une bonne chose de découvrir et remonter tout.
Cela serait une erreur de se sentir invincible.
Bonne recherche à chacun.
Dominique
0  0 
Avatar de Médinoc
Expert éminent sénior https://www.developpez.com
Le 15/07/2019 à 9:54
Donc en gros, "Permettant aux pirates d'avoir un contrôle à distance" c'est un gros clickbait, et chacune de ses vulnérabilités permet seulement un déni de service?
0  0 

 
Responsable bénévole de la rubrique Linux : chrtophe -

Partenaire : Hébergement Web