IDC Online - Thông báo và khuyến nghị khách hàng lỗ hổng trên hệ điều hành Linux

Thursday, June 20, 2019

Dear Quý Khách Hàng,

Vừa qua Netflix có phát hiện 1 số lỗ hổng bảo mật nghiêm trọng trên Linux kernel toàn bộ các phiên bản. Attacker có thể build 1 số gói TCP có trường MSS và tấn công vào cơ chế selective ACK của Linux để gây từ chối dịch vụ. Lỗ hổng này có thể gây ra kernel panic, high resource usage… và hoàn toàn có thể được exploit từ remote.
 

Lỗ hổng được đánh giá là rất nghiêm trọng và hiện tại chưa được patch hoàn toàn. Trong 1 vài giờ hoặc 1 vài ngày tới khi PoC phổ biến thì chắc chắn sẽ có nhiều traffic dạng này tấn công vào các hệ thống public của các server chạy các dịch vụ online.
Để tạm thời mitigate lỗ hổng này khuyến nghị ACE làm các việc sau:
-              Kiểm tra hệ thống server, firewall và các application, services chạy trên server, check các port không cần thiết, lỗ hổng và đánh giá các server có thể bị tấn công từ remote
-              Kiểm tra, rà soát lại các máy chủ quản trị, máy chủ hệ thống
-              Update kernel Linux đến phiên bản mới nhất (được mitigate 1 phần lỗ hổng). Advisor của Redhat và Ubuntu có thể tìm thấy tại
o             https://access.redhat.com/security/vulnerabilities/tcpsack
o             https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic
-              Block các gói tin với giá trị MSS nhỏ, hoặc tắt tcp_sack (gây giảm hiệu năng network)
o             Block MSS giá trị nhỏ: iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP (cần monitor việc chặn gói MSS trước và sau khi apply tránh tình trạng chặn các gói tin hợp lệ)
o             echo 0 > /proc/sys/net/ipv4/tcp_sack (gây giảm hiệu năng hệ thống)
 
Sẽ cập nhật thêm thông tin khi các distro có patch đầy đủ.
Thông tin thêm về lỗ hổng có thể đọc tại: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md


Trân Trọng Thông Báo!