TCP SACK PANIC: Neuer Angriffsvektor auf den Linux-Kernel aus der Ferne

1
min read
A- A+
read

Mitarbeiter von Netflix haben einige Sicherheitsprobleme im Netzwerk-Stack des Linux-Kernels entdeckt, die sich für Denial-of-Service-Attacken eignen. Diese Sicherheitslücken sind auch für IoT-Anwendungen relevant. 

IT-Spezialisten von Netflix haben vier Sicherheitslücken im Netzwerkstack des Kernels von Linux und FreeBSD gefunden. Eine Lücke davon (CVE-2019-11477, "SACK Panic") wir auch für IoT-Anwendungen als problematisch eingeschätzt, da sie unter bestimmten Voraussetzungen für Angriffe auf IoT-Geräte aus der Ferne verwendet werden kann, in dem durch Zugriffe aus der Ferne eine Kernel Panic provoziert wird. 
Wir eine Kernel Panic ausgelöst, kann das Betriebssystem in einen Zustand gehen, in dem es nicht mehr lauffähig ist. Das betroffene Gerät, in dem sich das Linux befindet, kann dann seine Aufgaben nicht mehr ausführen und verweigert somit seinen Dienst – ein sogenannter Denial of Service (DoS).

Die Lücke CVE-2019-11477, die sich im Linux-Kernel ab einschließlich Version 2.6.29 befindet, wird unter anderem von RedHat als "wichtig" eingestuft. Betroffene Systeme sollten kurzfristig gepatcht werden. 
Die drei anderen Lücken – CVE-2019-11478, CVE-2019-11479 und CVE-2019-5599 können von Angreifern dazu genutzt werden, um unverhältnismäßig viele System-Ressourcen der Geräte zu konsumieren. Dies wird für IoT-Geräte als weniger dramatisch eingeschätzt, sofern diese nicht auch für Steuerungsaufgaben verwendet werden. Unter bestimmten Voraussetzungen könnten sie auch für DoS-Attacken genutzt werden. Alle vier Lücken stehen im Zusammenhang mit dem "Selective Acknowledgement"-Mechanismus (SACK) für TCP-Verbindungen, beziehungsweise mit der "Maximum Segment Size" (MSS) von TCP-Verbindungen. 

Patches 

Die IT-Spezialisten von Netflix haben bereits einige Patches zu den beschriebenen Sicherheitslücken veröffentlicht, die auch schon von den großen Linux-Distributionen implementiert wurden. Für IoT-Geräte jedoch müssen die Patches von den Herstellern der Firmware selbst implementiert und verteilt werden. 
Die kommenden Updates für die Produkte von ELFIN werden als ‘Sicherheitsupdate’ gekennzeichnet sein. Sollten Sie die Wartung der IoT-Geräte von ELFIN selbst durchführen, dann aktualisieren Sie bitte die Firmware zeitnah nach erscheinen.   

Weiterführende Links 

Eine Übersicht über die vier Lücken nebst Informationen zu den jeweils betroffenen Kernel-Versionen bietet ein von Netflix veröffentlichtes Advisory.

RedHat hat eine detaillierte Erklärung von Sinn und Zweck von SACK und MSS im Zusammenhang mit den aktuellen Problemen veröffentlicht.