
A Clavis Segurança da Informação detectou dois ranges de IP tentando efetuar ataques distribuídos de negação de serviço (DDoS), sendo eles: 45.171.0.0/16 e 179.107.0.0/16.
Ainda segundo nossas fontes, é possível que estes atacantes estejam tentando explorar uma vulnerabilidade de TCP em kernel Linux. Esta falha ocorre quando o kernel Linux tenta lidar com pacotes TCP com um tamanho MSS (Maximum Segment Size) pequeno. O atacante pode, então, explorar esta vulnerabilidade para causar uma negação de serviço no sistema vulnerável. São relacionadas a este tipo de ataque as seguintes CVEs: CVE-2019-11477 (CVSS: 7.5), CVE-2019-11478 (CVSS: 5.3) e CVE-2019-11479 (CVSS: 5.3).
São afetadas por esta falha as versões do kernel Linux 4.15 e anteriores. Formas de mitigação e atualizações podem ser encontradas neste link da Red Hat.
Caso seja identificada alguma ação anômala originada desses IPs, nossa recomendação é entrar imediatamente em contato com o SOC Clavis.