Support-Portal

TCP SACK PANIC Kernel Vulnerability

Update:

Mit dem Release von UTM v9.604 vom 11.07. gilt dieses Verhalten für die SG Firewall als behoben. Die Release-Notes finden sie unter folgendem Link:

UTM Up2Date 9.604

In diesem Artikel werden die Details der TCP SACK PANIC Kernel Vulnerability, sowie ihre Auswirkungen auf Sophos Produkte, angerissen.

Drei verwandte Fehler wurden im Umgang des Linux-Kernels mit SACK-Paketen (TCP Selective Acknowledgement) mit geringer MSS-Größe gefunden.

Diesen wurden folgende CVEs zugewiesen:

CVE-2019-11477 wird mit hohem Schweregrad angegeben.

CVE-2019-11478 und CVE-2019-11479 werden mit moderatem Schweregrad angegeben.

Product Affected Release Plan
Sophos XG Firewall Yes Mid of July
Sophos UTM Yes Mid of July
Cyberoam Yes End of July
Sophos Firewall Manager No
Sophos UTM Manager Yes No release dates yet
Sophos Email Appliance No
Sophos Web Appliance Yes Mid of July
Sophos RED No
Sophos AP/APX No
Sophos iview No
Sophos Central Firewall Manager No

Auswirkungen

CVE-2019-11477

  • Ein entfernter Angreifer könnte diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen, um ein Denial of Service herbeizuführen

CVE-2019-11478

  • Der Linux-Kernel ist für einen Fehler anfällig, der es Angreifern erlaubt eine erstellte Sequenz von SACKs zu senden, welche die TCP Retransmission Queue fragmentieren. Dies kann dazu führen, dass die CPU unter übermäßig hohem Zeitaufwand versucht, die Liste zu rekonstruieren, wodurch ein Denial of Service hervorgerufen wird.

CVE-2019-11479

  • Der Linux-Kernel ist anfällig für einen Fehler, der es Angreifern ermöglicht, erstellte Pakete mit niedrigen MSS-Werten zu versenden, um exzessiven Ressourcenverbrauch herbeizuführen. Hierdurch arbeitet das System mit verminderter Kapazität, was zu einem Denial of Service für einige User führen kann.

Was können sie tun?

Sophos arbeitet aktiv an einer Lösung für das Problem.

Um diesen Fehler zu beheben, während ein permanenter Fix entwickelt wird, können Nutzer die selektive Bestätigung für alle neuen TCP-Verbindungen  deaktivieren.

Sophos Firewall

Deaktivieren sie selektive Bestätigung in der Konsole. Dieser Workaround ist reboot-persistent.

Hinweis: SACK zu deaktivieren, kann bei Paketverlusten zu Performance-Einbrüchen führen

  • Loggen sie sich in die XG-Konsole ein > Option 4
    • set advanced-firewall tcp-selective-acknowledgement off
  • Zur Überprüfung:
    • show advanced-firewall
    • TCP Selective Acknowledgements: off

Sophos UTM

Es gibt zwei reboot-persistente Workarounds. Jedoch haben beide einige Tücken. Benutzer präferieren, daher gegebenfalls einen der Beiden.

Hinweis: Die Änderungen in /etc/sysctl.conf für beide Workarounds sollten entfernt werden sobald die UTM auf v9.604 geupdatet wird, da der Fix in dieser Version enthalten ist.

  1. Limitieren sie die MSS-Größe. Dies wirkt gegen alle drei CVEs.
  2. Deaktivieren des SACK. Dies wirkt nur gegen CVE-2019-11477 (kritisch) und CVE-2019-11478.

Limitieren der MSS-Größe

Dieser Workaround wirkt gegen alle drei CVEs.

Hinweis: Ein Nebeneffekt der Änderung ist, dass legitimer Datenverkehr, der auf niedrige MSS-Größen baut, ebenfalls unterbrochen wird.

  • Deaktivieren des MTU Probings:
    • echo "net.ipv4.tcp_mtu_probing = 0" >> /etc/sysctl.conf
    • sysctl -p
  • Fügen sie in /var/mdw/etc/iptables/iptable.filter die folgende Zeile hinter ( :USR_Output – [0:0]) ein:
    • -A INPUT -p tcp -m tcpmss -mss 1:500 -j DROP

SACK deaktivieren

Dieser Workaround wirkt nur gegen CVE-2019-11477 und CVE-2019-11478.

Hinweis: Ein Nebeneffekt der Änderung ist, dass es bei Paketverlusten zu Performance-Einbrüchen kommen kann.

  • echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf
  • sysctl -p

Cyberoam

Deaktivieren sie SACK in der Konsole. Der Workaround ist reboot-persistent.

Hinweis: Ein Nebeneffekt der Änderung ist, dass es bei Paketverlusten zu Performance-Einbrüchen kommen kann.

  • Loggen sie sich in die XG-Konsole ein > Option 4
    • set advanced-firewall tcp-selective-acknowledgement off
  • Zur Überprüfung:
    • show advanced-firewall
    • TCP Selective Acknowledgements: off

Sophos UTM Manager

Das Produkt ist von den Fehlern betroffen. Nutzen sie die Workarounds, die auch der Sophos UTM zur Verfügung stehen.

Sophos Web Appliance

  • Momentan ist kein Workaround verfügbar
  • Sophos arbeitet mit Hochdruck an einem Fix

Sophos AP/APX

Das Produkt ist von den Fehlern betroffen.

  • Momentan ist kein Workaround verfügbar
  • Sophos arbeitet mit Hochdruck an einem Fix

Sophos Central Firewall Manager

Dieses Produkt wird momentan auf Anfälligkeit geprüft.

Sophos for Virtual Environments

Es ist auf Security VMs möglich den Schwachpunkten entgegenzuwirken, indem die folgenden Schritte befolgt werden:

  1. Verschaffen sie sich über Hyper-V Remote Connection, VMware Console oder SSH Zugang zum Terminal der Security VM.
  2. Loggen sie sich in die Security VM ein.
  3. Führen sie folgendes Kommando aus:
  • sudo sysctl -w net.ipv4.tcp_sack=0

Hinweis: Diese Modifikation ist nicht reboot-persistent und muss nach jedem Neustart erneut durchgeführt werden. Sophos plant für Juli 2019 Virtual Environments 1.3.2 zu releasen, um diese Schwachstellen zu beseitigen.

Tags: xg, sg, AP, RED, sophos, Firewall, UTM, APX, Email, SFOS, MSS, SACK, Linux, Kernel, Cyberoam, Sophos Firewall Manager, AP/APX, CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, Web