logoCert_sugestao2.png

Vulnerabilidade na implementação TCP no kernel do Linux

O CERT.Bahia alerta sobre vulnerabilidade na implementação da RFC5961 no kernel do Linux (CVE-2016-5696). A exploração dessa vulnerabilidade permite o roubo de sessão TCP (hijack TCP session) ou outras formas de interferência na conexão TCP. A falha afeta as versões do kernel do Linux a partir da v3.6 (inclusive) e anterior a v4.7. Até o momento da publicação deste alerta, não foram divulgados códigos de exploração para esta vulnerabilidade.

Como medida de mitigação, recomenda-se a atualização do kernel do Linux para a versão 4.7 ou posterior. Para as versões anteriores, é possível dificultar a exploração da vulnerabilidade através da seguinte configuração:

1 - Editar o arquivo /etc/sysctl.conf
2 - Incluir o parâmetro: net.ipv4.tcp_challenge_ack_limit = 999999999
3 - Executar o comando: sysctl -p

Referências:

http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
https://ucrtoday.ucr.edu/39030
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696