https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
원문 : https://securityaffairs.co/wordpress/87244/security/dos-flaws-linux-freebsd.html
출처 ) https://blog.alyac.co.kr/2371?category=750247
넷플릭스의 연구원이 FreeBSD와 리눅스 커널에서 서비스 거부(DoS)를 유발할 수 있는 TCP 네트워킹 취약점을 발견했습니다.
넷플릭스의 보안 전문가인 Jonathan Looney는 리눅스 DoS 취약점 3개를 발견했는데, MSS(minimum segment size)와 TCP SACK(Selective Acknowledgement) 기능과 연관이 있습니다.
SACK Panic으로 명명된 가장 심각한 취약점은 원격으로 DoS 상태를 유발해 취약한 시스템을 재부팅하는데 악용될 수 있습니다. 이 커널 패닉 결함은 최신 리눅스 커널에 영향을 줍니다.
DoS 결점인 SACK Panic은 CVE-2019-11477로 등록되었으며 심각도 ‘중요함’, 기본 점수 7.5 CVSS3을 기록했습니다.
넷플릭스 측은 이번에 발견된 취약점을 수정할 수 있는 패치가 이미 나왔으나, 패치를 적용할 수 없을 경우, 완화 조치를 통해 효과적으로 위협을 예방할 수 있다고 전했습니다.
SACK Panic 취약점은 리눅스 커널 2.6.29 및 이후 버전에 영향을 미칩니다.
공격자는 TCP 연결을 통해 특수하게 제작된 SACK 세그먼트 시퀀스를 작은 TCP MSS 값과 함께 커널 패닉으로 이어지는 정수(integer) 오버플로우를 발생시킬 수 있습니다.
넷플릭스의 보안 전문가는 "PATCH_net_1_4.patch"를 적용할 것과 리눅스 버전 4.14 및 이전 버전은 두 번째 패치인 "PATCH_net_1a.patch"가 추가로 필요하다고 조언했습니다.
주요 리눅스 배포사 및 클라우드 서비스 업체들이 발표한 권고문은 아래와 같습니다.
- Debian
- Red Hat
- Suse
- Ubuntu
- AWS
다행인 점은 발견된 결함 중 대부분은 이미 공개된 보안 패치로 해결이 가능하다는 것입니다.
또한, 패치가 불가능한 시스템에서 사용할 수 있는 완화 조치도 공개되어 있습니다.
해당 취약점 패치가 바로 불가능한 사용자 및 관리자들은 시스템에서 SACK 프로세싱을 완전히 비활성화하거나 Low MSS가 포함된 연결을 차단하여 이 결함을 완화시킬 수 있습니다.
넷플릭스 측은 해당 연결을 차단할 수 있는 일련의 필터를 제공했습니다. 또 다른 완화법은 TCP 프로브(Probe)를 비활성화하는 것입니다.
나머지 이슈들은 CVE-2019-11478, CVE-2019-11479로 등록되었으며 모두 심각도 ‘보통’을 기록했습니다.
CVE-2019-11478 이슈는 TCP 재전송 큐를 조각내도록 제작된 SACK 시퀀스를 보내 악용이 가능합니다.
CVE-2019-11479는 공격자들이 과도한 리소스 소비를 유발하기 위하여 Low MSS 값이 포함된 특수 제작된 패킷을 보내어 DoS 상태를 유발할 수 있습니다.
SACK Slowness로 명명된 CVE-2019-5599는 FreeBSD 12 버전에 영향을 미칩니다.
# 늦은감이 ..
공격자는 RACK 전송 맵을 조각내는 특수하게 제작된 SACK 시퀀스를 전달하여 악용할 수 있습니다.
CVE-2019-5599는 "split_limit.patch"를 적용하고 "net.inet.tcp.rack.split_limit sysctl"를 SACK 테이블의 사이즈를 적당한 값으로 제한하여 설정함으로써 해결할 수 있습니다.
또한 관리자들은 RACK TCP 스택을 일시적으로 비활성화 할 수도 있습니다.
적절한 시스템, 어플리케이션 코딩, 구성을 통해 이러한 취약점을 악용한 공격의 영향을 제한할 수 있습니다.
여기에는 write 버퍼 수준 제한, SO_MEMINFO를 통한 연결 메모리 소비 모니터링, 악성 연결 차단 등이 포함됩니다.
