• Alerta

Vulnerabilidade na implementação TCP no kernel do Linux

O CERT.Bahia alerta sobre vulnerabilidade na implementação da RFC5961 no kernel do Linux (CVE-2016-5696). A exploração dessa vulnerabilidade permite o roubo de sessão TCP (hijack TCP session) ou outras formas de interferência na conexão TCP.

A falha afeta as versões do kernel do Linux a partir da v3.6 (inclusive) e anterior a v4.7. Até o momento da publicação deste alerta, não foram divulgados códigos de exploração para esta vulnerabilidade.

Como medida de mitigação, recomenda-se a atualização do kernel do Linux para a versão 4.7 ou posterior. Para as versões anteriores, é possível dificultar a exploração da vulnerabilidade através da seguinte configuração:

1. Editar o arquivo /etc/sysctl.conf
2. Incluir o parâmetro: net.ipv4.tcp_challenge_ack_limit = 999999999
3. Executar o comando: sysctl -p

Referências

• http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
• https://ucrtoday.ucr.edu/39030
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696