HTCinside


Häkkerid saavad uue Linuxi haavatavuse abil VPN-ühendusi kaaperdada

Linux on üks enimkasutatavaid avatud lähtekoodiga operatsioonisüsteeme. 4. detsembril 2019 Küberuurijate meeskond leidis haavatavuse Linuxi distributsioonides ja teistes Unixi operatsioonisüsteemides, nagu OpenBSD, FreeBSD, iOS, macOS ja Android.

Teadlaste meeskond jälgis seda haavatavust kui CVE-2019-14899, mis võimaldab võrguga külgneval häkkeril saada teavet kasutajate kohta ilma nende loata.

Kasutaja peab olema ühendatud VPN-iga (Virtuaalne privaatvõrk). Pärast selle tingimuse täitmist pääseb häkker ligi VPN-serveri määratud virtuaalse IP-aadressi teabele, samuti antud veebisaidi ühenduse aktiivsuse olekule.

Teadlased ütlesid, et häkkerid saavad teada täpsete ack- ja seq-numbrite kohta krüptitud pakette loendades või nende suurust uurides. Selle juurdepääsetavuse abil saavad häkkerid sisestada andmeid TCP-voogu ja kaaperdada ühenduse.

Rünnak tekkis pärast Ubuntu 19.10 väljaandmist, kui sysctl.d/50-default.conf rp-filtri sätted systemd hoidlas on muudetud rangest režiimist lahti. See muudatus toimus 28. novembril 2018. Pärast seda kuupäeva on kõik nende seadetega süsteemid nüüd haavatavad.

Pärast 28. novembrit katkes vaikimisi ka pöördtee filtreerimine. Vaatamata sellele hiljuti avastati, et see rünnak töötab ka IPv6 vastu ja pöördtee filtreerimise sisselülitamine ei ole enam väärt.

Seda rünnakut testiti WireGuardi, OpenVPN-i ja IKEv2/IPSec VPN-idega. Kuigi meeskond ütles, et nad ei testinud seda haavatavust TOR-iga, kuid usuvad, et see on haavamatu, kuna see töötab SOCKS-i kihis ning hõlmab autentimist ja krüptimist, mis toimub kasutajaruumis.

Teadlaste meeskond selgitas seda rünnakut kolmes etapis:

  1. Esiteks, teades VPN-i kliendi virtuaalset IP-aadressi.
  2. Ründajad teevad virtuaalse IP-aadressi abil järeldusi aktiivsete ühenduste kohta.
  3. Pärast krüptitud vastuste saamist soovimatutele pakettidele, et määrata kindlaks aktiivsete ühenduste järjestus ja arv TCP-seansi kaaperdamiseks.

Siin on loend haavatavatest operatsioonisüsteemidest, mida meeskond on juba testinud ja leidnud haavatavaks.

  1. Ubuntu 19.10 (süsteemne)
  2. Fedora (süsteemne)
  3. Debian 10.2 (süsteemne)
  4. Arch 2019.05 (süsteemne)
  5. Manjaro 18.1.1 (süsteemne)
  6. Devuan (sysV init)
  7. MX Linux 19 (Mepis+antiX)
  8. Kehtetu Linux (käivitama)
  9. Slackware 14.2 (rc.d)
  10. Deepin (rc.d)
  11. FreeBSD (rc.d)
  12. OpenBSD (rc.d)

Kõigi operatsioonisüsteemide käitumine on selle haavatavuse suhtes erinev, kuid enamik operatsioonisüsteeme on selle rünnaku suhtes haavatavad, välja arvatud macOS-i/iOS-i seadmed.

Nad ütlesid meile, et macOS/iOS-i ligipääsetavuse saamiseks peab häkker kasutama virtuaalse IP-aadressi kohta teabe saamiseks avatud postitust. Teadlased kasutasid porti 5223, mida kasutatakse iCloudi, iMessage'i, FaceTime'i, Game Centeri, Photo Streami ja teenuste jaoks, nagu tõukemärguanded.

  • Loe -Hiina häkkerid tungivad Chrome'i, Safari ja paljastasid brauseri haavatavused

Vaatamata ülaltoodud loendile ütlesid teadlased meile, et nad kavatsevad seda haavatavustesti käivitada rohkemates operatsioonisüsteemides. Seega võiks tulevikus sellesse haavatavuse loendisse lisada rohkem operatsioonisüsteeme.

Teadlased kavatsevad avaldada selle haavatavuse ja kõigi selle tagajärgede üksikasjad. Samuti mainisid nad, et teatavad haavatavusest oss-security () loendis openwall com.

Nad teatavad sellest haavatavusest ka teistele mõjutatud teenustele, nagu Systemd, Google, Apple, OpenVPN, WireGuard ja palju muud.