Tenable ブログ
ブログ通知を受信する
SACK Panic:Linux KernelおよびFreeBSD Kernelにリモートサービス拒否の脆弱性(CVE-2019-11477)が発見される
Netflixの研究者らは、ほとんどのLinuxおよびFreeBSDのバージョンにおける、新しいリモートサービス拒否およびリソース消費の脆弱性を開示しました。
背景
6月17日、Netflixはセキュリティ情報に関するアドバイザリをGitHubリポジトリで発表しました。このアドバイザリでは、LinuxとFreeBSDのカーネルに発見された4件のTCP(Transmission Control Protocol)ネットワークの脆弱性が開示されました。これには、最近のLinuxカーネルでリモートで引き起こされるカーネルパニックを引き起こす可能性がある「SACK Panic」と呼ばれる深刻な脆弱性が含まれています。
分析
このアドバイザリでは4件の脆弱性がそれぞれが特定のバージョンのLinuxおよびFreeBSDカーネル、あるいはすべてのLinuxカーネルバージョンに影響を及ぼすことが説明されています。
「SACK Panic」と呼ばれるCVE-2019-11477は、整数オーバーフローの脆弱性で、一連のTCP Selective Acknowledgement(SACK)を脆弱なシステムに送信することによりカーネルパニックを引き起こし、その結果、影響を受けるシステムでサービス拒否 (DoS)が発生する可能性があります。
CVE-2019-11478は、リモートの攻撃者が脆弱なシステムにSACKのシーケンスを送信することで引き起こされる可能性がある過剰なリソース消費の脆弱性で、その結果、TCP再送処理のキューのフラグメント化が発生します。さらに、4.15より前のLinux Kernelでは、攻撃者は、その同じTCP接続で受信された後続のSACKに対して、高価なリンクリストウォークを引き起こすことができる可能性があります。この脆弱性の悪用に成功すると、システムパフォーマンスが大幅に妨げられ、完全なDoSが引き起こされる可能性があります。
CVE-2019-11479は、リモートの攻撃者がTCP接続に対して最大セグメントサイズ(MSS)を低く設定した場合に引き起こされる可能性がある、過剰なリソース消費の脆弱性です。脆弱なシステムでは、その応答が「8バイトのデータを含む複数のTCPセグメント」に送信されるため、追加の帯域幅とリソースが消費されます。この脆弱性を悪用すると、影響を受けるコンピュータが最大のリソース消費で実行されるため、悪意のある要求を処理しようとする際にシステムパフォーマンスが低下する可能性があります。
CVE-2019-5599とCVE-2019-11478は、SACKのシーケンスの送信によりフラグメント化が発生するという点が似ていますが、この脆弱性はFreeBSD 12のRACK TCPスタックのRACK送信マップに影響を及ぼします。
ソリューション
Netflixは、4件の脆弱性それぞれに対してパッチと軽減策をアドバイザリで提供しています。関連するパッチは以下のとおりです。
| パッチ | CVE | 記 |
|---|---|---|
| PATCH_net_1_4.patch PATCH_net_1a.patch | CVE-2019-11477 | PATCH_net_1_4.patchは2.6.29以上のLinuxカーネルバージョンの脆弱性を解決しますが、PATCH_net_1a.patchは4.14までのLinuxカーネルバージョンに必要です。 |
| PATCH_net_2_4.patch | CVE-2019-11478 | PATCH_net_2_4は、Linuxカーネルバージョン4.15未満でのSACKの低速性と、すべてのLinuxカーネルバージョンでの過剰なリソース使用率の両方に対処します。 |
| PATCH_net_3_4.patch PATCH_net_4_4.patch | CVE-2019-11479 | PATCH_net_3_4.patchおよびPATCH_net_4_4.patchは、すべてのLinuxカーネルバージョンにおける過剰なリソース消費の脆弱性を解決します。 |
| split_limit.patch | CVE-2019-5599 | split_limit.patchは、FreeBSD 12上のRACK TCPスタックのSACKの低速性を解決します。 |
Linuxカーネル開発者兼メンテナーのGreg Kroah-Hartman氏は、パッチが以下のバージョンの安定版カーネルにロールインされたことを発表しました 。
Kroah-Hartman氏は、3.16.yブランチ以外の他のすべてのカーネルブランチは廃止されると述べています。そのため、パッチが適用できない場合は、アドバイザリからの軽減策を適用することを強くお勧めします。
Red Hat、Ubuntu、Debian、およびSUSEなどの さまざまなLinuxディストリビューション向けの追加のダウンストリームパッチは入手可能であるか、開発中です。 Amazon Web Services(AWS)は、この脆弱性と、Amazon LinuxおよびAmazon Linux 2用のパッチが適用されたバージョンのLinuxカーネルの可用性を含むさまざまなサービスへの影響に関する質問に対するセキュリティ情報 をリリースしました。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
Tenable.io60日間無料トライルを入手する。
関連記事
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program
May 3, 2024Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning