Vulnerabilidades críticas no kernel do Linux afetam 8 milhões de serviços
A Netflix identificou várias vulnerabilidades críticas nos kernels do Linux e FreeBSD. Ao todo, quatro falhas foram reportadas: CVE-2019-11478, CVE-2019-5599, CVE-2019-11479, que causam sobrecarga na utilização dos recursos de hardware, e a mais sérias de todas, CVE-2019-11477, apelidada de “SACK Panic”, que poderia permitir que um invasor causasse falha de sistemas baseados em Linux, remotamente, usando comandos exclusivamente criados para tal.
De acordo com David Atkinson, CEO da Senseon, empresa de cibersegurança com sede no Reino Unido, 40% dos sites do mundo dependem de sistemas Linux. A maioria das infraestruturas corporativas do mundo também depende dele, já que o kernel Linux está incorporado a milhares de dispositivos, dos mais simples aos mais robustos e complexos, dos mais portáteis aos mais fixos.
Toda essa dependência causa dificuldade em mensurar a amplitude da atuação do Linux na internet mundial.
Atkinson afirma que há pelo menos 8 milhões de serviços voltados ao público utilizando o sistema do pinguim e que, na pior das hipóteses, um único hacker poderia se aproveitar dessas vulnerabilidades para derrubar sistemas inteiros. O risco afeta todos os usuários domésticos e corporativos que dependem desses serviços, além de aumentar as chances de ataques coordenados de estado-nação.
Embora Atkinson recomende que as companhias se apressem para implementar o patch de segurança, que já existe, as empresas podem levar de semanas a meses para que todos os bugs derivados das falhas principais sejam encontrados e corrigidos.
Jonathan Looney, da Netflix, propôs a desativação do processo do SACK, a fim de minimizar o risco de ataques.
Além da Netflix, AWS (Amazon), Canonical e Red Hat emitiram alertas urgentes. No caso da Canonical, todos os kernels do Ubuntu para os principais ambientes de nuvem foram afetados. Já a AWS informou que todos os seus clusters EKS atualmente em execução estão fora de perigo.
