CVE-2023-52881

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: no acepta ACK de bytes que nunca enviamos. Este parche se basa en un informe detallado e ideas de Yepeng Pan y Christian Rossow. La validación de secuencia de ACK sigue actualmente las pautas RFC 5961 5.2: El valor de ACK se considera aceptable solo si está en el rango de ((SND.UNA - MAX.SND.WND) <= SEG.ACK <= SND.NXT). Todos los segmentos entrantes cuyo valor ACK no satisface la condición anterior DEBEN descartarse y enviarse un ACK. Es necesario tener en cuenta que RFC 793 en la página 72 (quinta verificación) dice: "Si el ACK es un duplicado (SEG.ACK < SND.UNA), se puede ignorar. Si el ACK reconoce algo que aún no se ha enviado (SEG. ACK > SND.NXT) luego envía un ACK, descarta el segmento y regresa". Lo "ignorado" anterior implica que el procesamiento del segmento de datos entrantes continúa, lo que significa que el valor ACK se trata como aceptable. Esta mitigación hace que la verificación de ACK sea más estricta, ya que no se aceptará ningún ACK < SND.UNA; en su lugar, solo se aceptarán ACK que estén en el rango ((SND.UNA - MAX.SND.WND) <= SEG.ACK <= SND. NXT) pasar. Esto se puede perfeccionar para flujos nuevos (y posiblemente falsificados) al no aceptar ACK para bytes que nunca se enviaron. Esto mejora enormemente la seguridad de TCP a un costo reducido. Agregué una etiqueta Correcciones: para asegurarme de que este parche llegue a árboles estables, incluso si el parche "culpado" se adhirió al RFC. tp->bytes_acked se agregó en Linux-4.2 La siguiente prueba de packagedrill (cortesía de Yepeng Pan) muestra el problema en cuestión: 0 socket(..., SOCK_STREAM, IPPROTO_TCP) = 3 +0 setsockopt(3, SOL_SOCKET, SO_REUSEADDR, [1 ], 4) = 0 +0 enlazar(3, ..., ...) = 0 +0 escuchar(3, 1024) = 0 // ---------------- Apretón de manos ------------------- // // cuando la escala de la ventana se establece en 14, el tamaño de la ventana se puede ampliar a // 65535 * (2^14) = 1073725440. Linux aceptaría un paquete ACK // con un número de reconocimiento en (Server_ISN+1-1073725440. Server_ISN+1) //, aunque este número de reconocimiento reconoce algunos datos // nunca enviados por el servidor. +0 < S 0:0(0) win 65535 +0 > S. 0:0(0) ack 1 <...> +0 < . 1:1(0) ack 1 win 65535 +0 aceptar(3, ..., ...) = 4 // Para la conexión establecida, enviamos un paquete ACK, // el paquete de confirmación utiliza el número de confirmación 1 - 1073725300 + 2^32, // donde 2^32 se usa para envolver. // Nota: utilizamos 1073725300 en lugar de 1073725440 para evitar posibles // casos extremos. // 1 - 1073725300 + 2^32 = 3221241997 // Vaya, los núcleos antiguos aceptan felizmente este paquete. +0 <. 1:1001(1000) ACK 3221241997 win 65535 // Después de la corrección del kernel, lo siguiente será reemplazado por un ACK de desafío, // y el marco malicioso anterior se eliminará. +0 > . 1:1(0) reconocimiento 1001

A flaw was found in the Linux kernel. Two TCP spoofing primitives exist where an attacker can brute force the server-chosen send window by acknowledging data that was never sent, called "ghost ACKs." There are side channels that also allow the attacker to leak the otherwise secret server-chosen initial sequence number (ISN). One of these side channels leverages TCP SYN cookies.

In the Linux kernel, the following vulnerability has been resolved: tcp: do not accept ACK of bytes we never sent This patch is based on a detailed report and ideas from Yepeng Pan and Christian Rossow. ACK seq validation is currently following RFC 5961 5.2 guidelines: The ACK value is considered acceptable only if it is in the range of ((SND.UNA - MAX.SND.WND) <= SEG.ACK <= SND.NXT). All incoming segments whose ACK value doesn't satisfy the above condition MUST be discarded and an ACK sent back. It needs to be noted that RFC 793 on page 72 (fifth check) says: "If the ACK is a duplicate (SEG.ACK < SND.UNA), it can be ignored. If the ACK acknowledges something not yet sent (SEG.ACK > SND.NXT) then send an ACK, drop the segment, and return". The "ignored" above implies that the processing of the incoming data segment continues, which means the ACK value is treated as acceptable. This mitigation makes the ACK check more stringent since any ACK < SND.UNA wouldn't be accepted, instead only ACKs that are in the range ((SND.UNA - MAX.SND.WND) <= SEG.ACK <= SND.NXT) get through. This can be refined for new (and possibly spoofed) flows, by not accepting ACK for bytes that were never sent. This greatly improves TCP security at a little cost. I added a Fixes: tag to make sure this patch will reach stable trees, even if the 'blamed' patch was adhering to the RFC. tp->bytes_acked was added in linux-4.2 Following packetdrill test (courtesy of Yepeng Pan) shows the issue at hand: 0 socket(..., SOCK_STREAM, IPPROTO_TCP) = 3 +0 setsockopt(3, SOL_SOCKET, SO_REUSEADDR, [1], 4) = 0 +0 bind(3, ..., ...) = 0 +0 listen(3, 1024) = 0 // ---------------- Handshake ------------------- // // when window scale is set to 14 the window size can be extended to // 65535 * (2^14) = 1073725440. Linux would accept an ACK packet // with ack number in (Server_ISN+1-1073725440. Server_ISN+1) // ,though this ack number acknowledges some data never // sent by the server. +0 < S 0:0(0) win 65535 <mss 1400,nop,wscale 14> +0 > S. 0:0(0) ack 1 <...> +0 < . 1:1(0) ack 1 win 65535 +0 accept(3, ..., ...) = 4 // For the established connection, we send an ACK packet, // the ack packet uses ack number 1 - 1073725300 + 2^32, // where 2^32 is used to wrap around. // Note: we used 1073725300 instead of 1073725440 to avoid possible // edge cases. // 1 - 1073725300 + 2^32 = 3221241997 // Oops, old kernels happily accept this packet. +0 < . 1:1001(1000) ack 3221241997 win 65535 // After the kernel fix the following will be replaced by a challenge ACK, // and prior malicious frame would be dropped. +0 > . 1:1(0) ack 1001