Update:
Mit dem Release von UTM v9.604 vom 11.07. gilt dieses Verhalten für die SG Firewall als behoben. Die Release-Notes finden sie unter folgendem Link:
In diesem Artikel werden die Details der TCP SACK PANIC Kernel Vulnerability, sowie ihre Auswirkungen auf Sophos Produkte, angerissen.
Drei verwandte Fehler wurden im Umgang des Linux-Kernels mit SACK-Paketen (TCP Selective Acknowledgement) mit geringer MSS-Größe gefunden.
Diesen wurden folgende CVEs zugewiesen:
CVE-2019-11477 wird mit hohem Schweregrad angegeben.
CVE-2019-11478 und CVE-2019-11479 werden mit moderatem Schweregrad angegeben.
Product | Affected | Release Plan |
---|---|---|
Sophos XG Firewall | Yes | Mid of July |
Sophos UTM | Yes | Mid of July |
Cyberoam | Yes | End of July |
Sophos Firewall Manager | No | – |
Sophos UTM Manager | Yes | No release dates yet |
Sophos Email Appliance | No | – |
Sophos Web Appliance | Yes | Mid of July |
Sophos RED | No | – |
Sophos AP/APX | No | – |
Sophos iview | No | – |
Sophos Central Firewall Manager | No | – |
Auswirkungen
CVE-2019-11477
- Ein entfernter Angreifer könnte diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen, um ein Denial of Service herbeizuführen
CVE-2019-11478
- Der Linux-Kernel ist für einen Fehler anfällig, der es Angreifern erlaubt eine erstellte Sequenz von SACKs zu senden, welche die TCP Retransmission Queue fragmentieren. Dies kann dazu führen, dass die CPU unter übermäßig hohem Zeitaufwand versucht, die Liste zu rekonstruieren, wodurch ein Denial of Service hervorgerufen wird.
CVE-2019-11479
- Der Linux-Kernel ist anfällig für einen Fehler, der es Angreifern ermöglicht, erstellte Pakete mit niedrigen MSS-Werten zu versenden, um exzessiven Ressourcenverbrauch herbeizuführen. Hierdurch arbeitet das System mit verminderter Kapazität, was zu einem Denial of Service für einige User führen kann.
Was können sie tun?
Sophos arbeitet aktiv an einer Lösung für das Problem.
Um diesen Fehler zu beheben, während ein permanenter Fix entwickelt wird, können Nutzer die selektive Bestätigung für alle neuen TCP-Verbindungen deaktivieren.
Sophos Firewall
Deaktivieren sie selektive Bestätigung in der Konsole. Dieser Workaround ist reboot-persistent.
Hinweis: SACK zu deaktivieren, kann bei Paketverlusten zu Performance-Einbrüchen führen
- Loggen sie sich in die XG-Konsole ein > Option 4
set advanced-firewall tcp-selective-acknowledgement off
- Zur Überprüfung:
show advanced-firewall
TCP Selective Acknowledgements: off
Sophos UTM
Es gibt zwei reboot-persistente Workarounds. Jedoch haben beide einige Tücken. Benutzer präferieren, daher gegebenfalls einen der Beiden.
Hinweis: Die Änderungen in /etc/sysctl.conf für beide Workarounds sollten entfernt werden sobald die UTM auf v9.604 geupdatet wird, da der Fix in dieser Version enthalten ist.
- Limitieren sie die MSS-Größe. Dies wirkt gegen alle drei CVEs.
- Deaktivieren des SACK. Dies wirkt nur gegen CVE-2019-11477 (kritisch) und CVE-2019-11478.
Limitieren der MSS-Größe
Dieser Workaround wirkt gegen alle drei CVEs.
Hinweis: Ein Nebeneffekt der Änderung ist, dass legitimer Datenverkehr, der auf niedrige MSS-Größen baut, ebenfalls unterbrochen wird.
- Deaktivieren des MTU Probings:
echo "net.ipv4.tcp_mtu_probing = 0" >> /etc/sysctl.conf
sysctl -p
- Fügen sie in /var/mdw/etc/iptables/iptable.filter die folgende Zeile hinter ( :USR_Output – [0:0]) ein:
- -A INPUT -p tcp -m tcpmss -mss 1:500 -j DROP
SACK deaktivieren
Dieser Workaround wirkt nur gegen CVE-2019-11477 und CVE-2019-11478.
Hinweis: Ein Nebeneffekt der Änderung ist, dass es bei Paketverlusten zu Performance-Einbrüchen kommen kann.
echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf
sysctl -p
Cyberoam
Deaktivieren sie SACK in der Konsole. Der Workaround ist reboot-persistent.
Hinweis: Ein Nebeneffekt der Änderung ist, dass es bei Paketverlusten zu Performance-Einbrüchen kommen kann.
- Loggen sie sich in die XG-Konsole ein > Option 4
set advanced-firewall tcp-selective-acknowledgement off
- Zur Überprüfung:
show advanced-firewall
TCP Selective Acknowledgements: off
Sophos UTM Manager
Das Produkt ist von den Fehlern betroffen. Nutzen sie die Workarounds, die auch der Sophos UTM zur Verfügung stehen.
Sophos Web Appliance
- Momentan ist kein Workaround verfügbar
- Sophos arbeitet mit Hochdruck an einem Fix
Sophos AP/APX
Das Produkt ist von den Fehlern betroffen.
- Momentan ist kein Workaround verfügbar
- Sophos arbeitet mit Hochdruck an einem Fix
Sophos Central Firewall Manager
Dieses Produkt wird momentan auf Anfälligkeit geprüft.
Sophos for Virtual Environments
Es ist auf Security VMs möglich den Schwachpunkten entgegenzuwirken, indem die folgenden Schritte befolgt werden:
- Verschaffen sie sich über Hyper-V Remote Connection, VMware Console oder SSH Zugang zum Terminal der Security VM.
- Loggen sie sich in die Security VM ein.
- Führen sie folgendes Kommando aus:
sudo sysctl -w net.ipv4.tcp_sack=0
Hinweis: Diese Modifikation ist nicht reboot-persistent und muss nach jedem Neustart erneut durchgeführt werden. Sophos plant für Juli 2019 Virtual Environments 1.3.2 zu releasen, um diese Schwachstellen zu beseitigen.