TCP SACK ПАНИКА
Вчера стало известно об обнаружении трёх достаточно серьёзных уязвимостей в ядре Linux, названных TCP SACK PANIC — CVE-2019-11477, CVE-2019-11478 и CVE-2019-11479. Данные уязвимости эксплуатируют код в ядре Linux, отвечающий за работу всего стека TCP. В случае успешной эксплуатации злоумышленником уязвимости в аффелированном ПО, максимальным уроном будет являться критическая ошибка ядра операционной системы, после которой операционная система не сможет продолжать дальнейшую работу, что по сути будет являть атаку «Отказ в обслуживании». Данному классу атак подвержены практически все существующие на данный момент дистрибутивы Linux, включая те, что используют 3.х версию ядра. К подавляющему большинству дистрибутивов на данный момент патчи только разрабатываются. Есть временные решения для отключения TCP SACK механизма, задействованного в эксплуатации описываемой уязвимости, но это может повлечь за собой деградацию производительности для соединений, направленных на модифицированную систему.
Для обеспечения информационной безопасности Наших Клиентов мы прибегаем к интеграции нескольких решений одновременно, чтобы устранить любую возможность злоумышленников получить доступ к системе. Одним из самых эффективных тандемов является интеграция NGFW решения с уже встроенной системой IPS или хотя бы размещение IPS в разрыв до защищаемого сегмента или в качестве IDS на копии трафика в случае хорошей работы SOC. Для осуществления подобных проектов мы используем решения Наших Партнеров – лидеров рынка: Check Point; Fortinet; PaloAlto Networks; McAfee; Barracuda Networks; Cisco; Watchguard; Sophos; Ideco; IBM XGS; Dell SonicWALL; Snort.