ในวันที่ผ่านมานี้ได้ปรากฎช่องโหว่ที่มีชื่อว่า SegmentSmack ซึ่งได้รับรหัส CVE-2018-5390 และเป็นช่องโหว่ที่สามารถทำ DoS ใส่ระบบ Linux Kernel หลากหลายรุ่นจน CPU ทำงานหนักจนไม่สามารถตอบสนองใดๆ ได้ ด้วยการส่ง TCP Packet เข้าไปโจมตีเท่านั้น ทำให้เหล่าผู้พัฒนาระบบปฏิบัติการ Linux, ผู้ให้บริการ Cloud และผู้ผลิตอุปกรณ์ IT ที่ใช้งาน Linux นั้นต่างต้องเร่งอุดช่องโหว่ดังกล่าวกันทุกราย
ช่องโหว่ SegmentSmack นี้ถูกค้นพบโดย Juha-Matti Tilli แห่ง Aalto University, Department of Communications and Networking และ Nokia Bell Labs ที่ได้ทำการรายงานช่องโหว่ดังกล่าว ซึ่ง SegmentSmack นี้เป็นช่องโหว่ที่ปรากฏอยู่ในการจัดการกับ TCP Packet ของ Linux Kernel โดยมีขั้นตอนการโจมตีดังนี้
- ผู้โจมตีทำการการส่ง TCP Packet ที่ถูกสร้างขึ้นมาเพื่อเจาะช่องโหว่นี้โดยเฉพาะไปยังเครื่องเป้าหมาย
- เครื่องเป้าหมายประมวลผล TCP Packet ดังกล่าว และเรียกใช้งานคำสั่ง tcp_collapse_ofo_queue() และ tcp_prune_ofo_queue() ซึ่งต่างก็เป็นคำสั่งที่ต้องใช้เวลาและพลังประมวลผลที่สูง
- ผู้โจมตีทำการส่ง TCP Packet ดังกล่าวซ้ำๆ เพื่อทำให้ CPU Load ของเครื่องเป้าหมายขึ้นสูงจนไม่สามารถประมวลผลอะไรได้
จะเห็นได้ว่าฝั่งผู้โจมตีนั้นแทบไม่มีภาระด้านการประมวลผลใดๆ เลยในขณะที่เครื่องเป้าหมายนั้นจะถูกบังคับให้ต้องประมวลผลในระดับที่สูงกว่าเสมอ ซึ่งทาง Red Hat ได้ระบุว่าด้วย Packet จำนวนเพียงไม่ถึง 2 Kpps ก็สามารถทำให้เครื่องเป้าหมายทำงานได้ช้ามาก และหากเปิดการโจมตีแบบ 4 Stream ก็จะทำให้สามารถ DoS ใส่เครื่องเป้าหมายที่ใช้ 4 CPU Core ได้แล้ว
ทางด้าน SUSE เองก็รายงานว่าปัญหานี้เกิดขึ้นกับ Linux Kernel ตั้งแต่รุ่น 4.9 เป็นต้นไป ดังนั้น Linux รุ่นใหม่ๆ ในปัจจุบันจำนวนมากต่างก็ได้รับผลกระทบจากช่องโหว่นี้ และปัจจุบันเหล่าผู้พัฒนา Linux เองต่างก็กำลังพัฒนา Patch ขึ้นมาแก้ไขช่องโหว่นี้ ในขณะที่เหล่า Linux ค่ายต่างๆ, ผู้ให้บริการ Cloud ที่ใช้ Linux และผู้ผลิตอุปกรณ์ IT ที่ใช้ Linux ต่างก็กำลังออกมาประกาศถึงผลิตภัณฑ์หรือบริการที่มีความเสี่ยงว่าจะได้รับผลกระทบจากช่องโหว่นี้ เพื่อให้ผู้ใช้งานได้ทำการระมัดระวังตัว
เนื่องจากปัจจุบันยังไม่มีวิธีแก้ไขปัญหา ดังนั้นผู้ดูแลระบบทุกคนจึงต้องทำการติดตามปัญหาอย่างใกล้ชิด และรีบอัปเดต Patch ทันทีที่ผู้ผลิตปล่อย Patch ออกมาครับ
ที่มา: https://access.redhat.com/articles/3553061, https://www.suse.com/c/suse-addresses-segmentsmack-attack/