SACK Panic: la vulnerabilidad detectada por Netflix que lleva en Linux más de 10 años

Escrito por Rubén Velasco

Aunque por lo general cuando hablamos de vulnerabilidades o fallos de seguridad solemos hacer referencia a Windows, los demás sistemas operativos, como Linux y macOS, también suelen verse afectados por importantes fallos que pueden poner en peligro la seguridad y estabilidad de los equipos o servidores que los ejecutan. Hoy es es turno de hablar de SACK Panic, una de las 3 nuevas vulnerabilidades encontradas en Linux por investigadores de Netflix que llevan poniendo en peligro los sistemas desde hace más de 10 años.

Un investigador de seguridad de Netflix daba a conocer hace algunas horas una serie de vulnerabilidades que había descubierto en el Kernel Linux y que afectaba a cualquier distribución basada en Linux, así como a FreeBSD. Estos fallos se encuentran en la forma en la que el Kernel Linux procesa las conexiones TCP y, al explotarlas, puede dar lugar a un Kernel Panic, el equivalente al pantallazo azul de Linux.

SACK Panic es la vulnerabilidad más importante y crítica de estas 3. Esta ha sido registrada como CVE-2019-11477 y ha sido considerada como de peligrosidad importante con una nota de 7.5 sobre 10 en CVSS3. Las otras dos vulnerabilidades, CVE-2019-11478 y CVE-2019-11479, han sido consideradas como vulnerabilidades de peligrosidad moderada.

SACK Panic: la vulnerabilidad que puede generar un Kernel Panic en tu ordenador o servidor

Como hemos dicho, la vulnerabilidad más grave de las 3 encontradas por los investigadores de Netflix es SACK Panic. Este fallo de seguridad afecta a cualquier distro Linux o servidor que utilice este sistema operativo, como Ubuntu, Debian, Red Hat, SUSE o AWS, entre otros, con un Kernel 2.6.29 o posterior.

Para explotar el fallo de seguridad simplemente hay que enviar una secuencia de segmentos SACK a una conexión TCP especialmente diseñada que cuenten con un valor bajo de MSS. Esto hace que los enteros se desborden y, por lo tanto, se genere un Kernel Panic en el sistema, forzando un reinicio del mismo.

SACK Slowness y el otro fallo de seguridad

Aunque SACK Panic es la vulnerabilidad más grave, también se han dado a conocer otros dos fallos de seguridad que afectan al Kernel Linux.

El segundo de los fallos ha sido denominado como SACK Slowness (CVE-2019-11478), y se puede explotar fácilmente enviando una secuencia elaborada de paquetes SACK para fragmentar la cola de retransmisión de la conexión TCP.

El tercero de los fallos no tiene un nombre como tal, pero ha sido registrado como CVE-2019-11479. Este fallo permite a un atacante realizar un ataque DoS a un sistema enviando paquetes con un valor bajo de MSS para disparar el consumo de recursos en el sistema.

Por el momento ninguna de las 3 vulnerabilidades tiene logotipo oficial ni una página web donde se expliquen con detalle estos fallos. Si queremos conocer más información detallada sobre los fallos, podemos verlos en el boletín de seguridad de Netflix, publicado en GitHub.

Cómo protegernos de SACK Panic

Bajo el boletín de seguridad NFLX-2019-001, Netflix ha publicado sus correspondientes parches de seguridad para solucionar estas vulnerabilidades en el Kernel Linux.

La mejor forma de protegerse de estos problemas es instalando estos parches tan pronto como sea posible, aunque la instalación manual puede ser un poco complicada para algunos usuarios. Si no queremos complicarnos, es mejor esperar un poco a que llegue una nueva versión del Kernel Linux que ya incluya estos parches y nos permitan estar protegidos.

Además, si queremos protegernos manualmente, también podemos deshabilitar SACK cambiando el valor de /proc/sys/net/ipv4/tcp_sack a 0 (cero) de manera que esta característica quede desactivada y no se pueda explotar la vulnerabilidad.

Fuente > openwall

Vía > bc

Continúa leyendo
  • 10 años y NADIE la explotó, tan crítica no debe ser.
    Eso no quita que deba parchearse ahora que se conoce.
    Como todos los programas y SOs van parcheándose contínuamente.

    Porque desgraciadamente siempre será posible encontrar una rara situación que pueda bloquear un SO o programa, de momento, esperando a vivir en un mundo donde los compiladores y los SOs puedan evitar casi todos estos dramas, que por otra parte enviarían al desempleo a esos expertos en seguridad que han tardado en conjunto 10 años en encontrar este fallo.

    • Yo creo que ya están lanzando el parche son lo rápidos que es la comunidad

      ¿Te acodas del de Windows que leva desde XP? dicen que todavía no lo arreglaron, se lo preguntaron hace poco al CEO

    • Al

      Que no haya sido descubierta ni explotada en 10 años no le resta criticidad.
      Imagina que una empresa como la propia Netflix acaba siendo víctima de esa vulnerabilidad y pierde el servicio que ofrece a sus usuarios “que pagan sus cuotas mensuales” …. las pérdidas serian cuantiosas

      Esto se puede extrapolar a cualquier empresa que tenga linux. Telecos, bancos…. . Vamos que en esta ocasión solamente se libraría Microsoft

      • Gregorio Ros

        Si, pero si no se conoce da igual 10 años que 100. Lo importante es que se parchee y pronto. Esto afecta a cualquier SO, lo bueno en Linux es que rara la vez que se descubre y no sale el parche por uno u otro, en Windows hay que esperar a que al señorito le pille a bien.