Linux-Kernel-Bug ermöglicht „kleine“ Denial-of-Service-Angriffe

Sicherheitsforscher haben eine Schwachstelle im Linux-Kernel entdeckt, der „kleine“ Denial-of-Service-Angriffe ermöglicht. Der SegmentSmack genannte Bug erlaubt es einem Angreifer, mit nur sehr wenig Traffic ein Linux-System lahmzulegen. Betroffen ist die Version 4.9 und neuer des Linux-Kernels.

Laut einer Sicherheitswarnung des CERT/CC der Carnegie Mellon University können neuere Versionen des Linux-Kernels zu bestimmten TCP-Aufrufen für jedes eingehende Netzwerkpaket gezwungen werden. Sie listet zudem zahlreiche Anbieter von Netzwerkausrüstung, PCs, Servern, mobilen Geräten und Betriebssystemen, deren Produkte möglicherweise angreifbar sind. Aufgrund der hohen Verbreitung von Linux könnte sich der Bug auf Produkte von Amazon und Apple bis hin zu Ubuntu und Zyxel auswirken.

Ein Angreifer muss lediglich eine TCP-Sitzung etablieren und dann ein speziell gestaltetes Paket verschicken. Für einen lang anhaltenden DoS-Angriff wird jedoch eine dauerhafte Zwei-Wege-TCP-Sitzung mit einem offenen Port benötigt. Diese Anforderung lässt sich laut CERT/CC per IP-Adress-Spoofing erfüllen.

Bereits 2000 Pakete pro Sekunde führen zum Denial of Service

Die TCP-Aufrufe führen letztlich zu einer Überlastung der CPU. Laut Red Hat kann ein Angreifer dies bereits mit „einer relativ geringen Bandbreite beim eingehenden Traffic“ erreichen. „Im schlimmsten Fall kann ein Angreifer einen betroffenen Host oder ein betroffenes Gerät mit einem Angriffsverkehr von weniger als 2000 Paketen pro Sekunde blockieren.“

Laut Red Hat findet sich der Fehler in RHEL 6 und 7, RHEL 7 for Real Time, RHEL 7 for ARM64, RHEL 7 for IBM Power und RHEL Atomic Host. Unglücklicherweise gebe es außer einem Kernel-Update keinen effektiven Workaround für die Schwachstelle.

Entdeckt wurde die Sicherheitslücke von Juha-Matti Tilli von Nokia Bell Labs. Unterstützung erhielt er von Mitarbeitern der Aalto Universität. Dort zeigte übrigens Linux-Entwickler Linus Torvalds bei einem Vortrag im Jahr 2012 Nvidia wegen des seiner Meinung nach fehlenden Linux-Supports den „Stinkefinger“.

Update 14. August

Zyxel hat inzwischen seine Produkte untersucht und in einem Support-Artikel bestätigt, dass sie nicht anfällig sind für den TCP-Fehler im Linux-Kernel.