Dos bugs en el Kernel de Linux permitían ataques DDoS: Ya estánan parcheados
Los responsables del kernel de Linux han implementado los parches en las últimas semanas para los dos bugs que son ideales para causar estragos a través de ataques DDoS.
Ambos errores afectan la pila TCP del kernel de Linux y se sabe que desencadenan un uso excesivo de recursos en sistemas basados en Linux.
La explotación de ambos errores requiere el envío de paquetes TCP o IP mal formados, respectivamente, a un servidor, computadora personal, tableta o teléfono inteligente específicos. El ataque desencadena una operación de agotamiento de recursos (mayor uso de CPU y RAM) que lleva a un reinicio del sistema afectado.
SegmentSmack
SegmentSmack es una vulnerabilidad del kernel de Linux que afecta la versión 4.9 y posteriores podría permitir a un atacante realizar ataques de denegación de servicio en un sistema con un puerto abierto disponible.
"Las versiones de kernel de Linux 4.9+ pueden verse forzadas a realizar llamadas a tcp_collapse_ofo_queue()
y tcp_prune_ofo_queue()
para cada paquete entrante que puede llevar a una denegación de servicio".
"Un atacante puede inducir una condición de denegación de servicio mediante el envío de paquetes especialmente modificados dentro de las sesiones TCP en curso".
Los actores malintencionados podrían mantener el ataque mediante el uso de una sesión TCP bidireccional continua a un puerto abierto alcanzable. Los investigadores notaron que debido a esto, los ataques no se pueden realizar usando direcciones IP falsificadas.
SegmentSmack y FragmentSmack
Los dos errores se conocen como SegmentSmack (CVE-2018-5390) y FragmentSmack (CVE-2018-5391).
Los atacantes pueden explotar SegmentSmack a través de una secuencia especialmente diseñada de segmentos TCP, mientras que FragmentSmack requiere una secuencia especialmente diseñada de datagramas IP.
¿Qué hacer si no puedes aplicar el parche?
Para los casos donde aún no se puede aplicar un parche para la vulnerabilidad FragmentSmack, el equipo de Debian recomienda la siguiente mitigación temporal:
Change the default values of net.ipv4.ipfrag_high_thresh and net.ipv4.ipfrag_low_thresh back to 256kB and 192 kB (respectively) or below
La información de parches para SegmentSmack se puede encontrar aquí, mientras que la información del parche de FragmentSmack debería estar disponible en el futuro aquí, ya que solo se ha actualizado recientemente y la información estará disponible más adelante.