Jonathan Looney, engenheiro da Netflix, descobriu, recentemente, algumas vulnerabilidades importantes na pilha TCP, de versões, do kernel Linux, bem como implementações de processos da Selective Acknowledgement (SACK) e valores de configuração na Maximum Segment Size (MSS).

Um atacante remoto pode usar essas falhas para gerar ‘kernel panic’ e causar uma negação de serviço nos servidores Linux. Estas falhas, até a data da publicação desta postagem, já tinham sido resolvidas em kernels estáveis de versões 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11.

Contextualizando

Antes que você duvide da segurança do Linux, informo que divulgações de vulnerabilidades de segurança a cerca do sistema, kernel e elementos Linux são comuns. Tanto que isso faz parte do processo de melhoria contínua do sistema. Se não se sabem as falhas, não se tem como mitiga-las 🙂

Por isso, como existe a Common Vulnerabilities and Exposures (CVE), uma base confiável de reports para falhas de diversas aplicações nas mais variadas plataformas, um engenheiro da Netflix, descobriu e publicou, recentemente, algumas falhas importantes do kernel Linux.

RECOMENDO QUE LEIA:
Muito além do kernel – conheça todos os elementos que formam a estrutura do sistema Linux
Por quê usuários Linux devem se preocupar com riscos em segurança e o que pode ser feito para se proteger

Falhas graves?

Toda vulnerabilidade é uma falha exposta por determinado tempo até que encontre a solução. O grau de criticidade tende a aumentar devido a capacidade do atacante ter acesso ou controle em ambiente local, com acesso direto ao shell, por exemplo, ou via conexão remota, pela rede.

Nesse caso, foram falhas envolvendo a pilha TCP do Kernel Linux e não pode ser usado para o escalonamento de privilégios (acesso root). Isso torna o problema na categoria de “crítico”.

Bugs encontrados

Entre as falhas encontradas, bem como implementações de processos da Selective Acknowledgement (SACK) e valores de configuração na Maximum Segment Size (MSS), a mais grave foi intitulada “SACK Panic” (CVE-2019-11477), que permite um atacante remoto causar ‘kernel panic’ e negação de serviço nos servidores Linux dando “integer overflow” – esta falha atinge versões a partir de 2.6.29 e superiores do Kernel Linux.

RECOMENDO QUE LEIA:
TOP 11 ferramentas de segurança de redes para Linux
Passo a passo completo para manter um sistema Linux seguro

Os outros bugs incluem a CVE-2019-11478 ou “SACK Slowness”, que afeta o Linux 4.15 e inferiores, a CVE-2019-5599, outro bug Sack Slowness, que afeta o FreeBSD 12, e CVE-2019-11479, que causa consumo excessivo de recursos em todas as versões do Linux.

Risco real?

Sim! Por exemplo, serviços de streaming que estejam hospedados em servidores Linux na infraestrutura AWS, da Amazon, estão ameaçados. Inclusive, a Amazon já liberou updates para os bugs que afetam o Linux e serviços AWS Elastic Beanstalk, Amazon Linux, Linux-based EC2 instances, Amazon Linux WorkSpaces e Amazon’s Kubernetes container service.

Entretanto, foram divulgados patches de segurança, pelo próprio Jonathan Looney, para sistemas Linux que ainda não tiveram seu repositório central de pacotes atualizado para as versões de kernel estáveis seguras 4.4.182, 4.9.182, 4.14.127, 4.19.52 e 5.1.11.

A equipe da Netflix detalha as falhas e modo para se prevenir aqui.

O que posso fazer?

Mesmo sendo Linux, existem riscos. Existem vários motivos pelos quais um sistema Linux não corre os mesmos “riscos” que o sistema Windows. E, não é devido a base menor de usuários como muitos podem pensar… Mas, mesmo sendo Linux, existem outros riscos.

Nenhum sistema é 100% seguro. Assim, o grande risco recai para o próprio usuário no fim das contas. Não adianta todo fluxo de descoberta/correção da falha serem feitos se o usuário não mantém, no mínimo, seu sistema atualizado :/

Portanto, para manter a segurança do sistema e reduzir o risco de um ataque seguem alguns procedimentos simples que podem ajudar bastante a evitar uma tremenda dor de cabeça. Você pode encontrar mais informações AQUI e AQUI