Odkrita je bila ranljivost, ki omogoča ugrabitev povezav VPN

Kramp Linux VNP

Pred nekaj dnevi je izšel tehnika napada (CVE-2019-14899), ki Omogoča zamenjavo, spreminjanje ali nadomeščanje paketov na povezavah TCP, posredovanih skozi predore VPN. Težava Vpliva na Linux, FreeBSD, OpenBSD, Android, macOS, iOS in druge sisteme, podobne Unixu.

Metoda omogoča nadomeščanje paketov na ravni TCP povezav ki prehajajo v šifrirani predor, vendar ne omogoča povezave v povezavah z uporabo dodatnih plasti šifriranja (na primer TLS, HTTPS, SSH). Šifrirni algoritmi, ki se uporabljajo v VPN-jih, niso pomembni, saj lažni paketi prihajajo iz zunanjega vmesnika, vendar jih jedro obdeluje kot pakete iz vmesnika VPN.

Najverjetnejši cilj napada je motenje nešifriranih povezav HTTP, vendar uporaba napada za manipulacijo odzivov DNS ni izključena.

Dokazana je bila uspešna zamenjava paketov za ustvarjene predore z OpenVPN, WireGuard in IKEv2 / IPSec.Tor. Težava na to ne vpliva, saj uporablja SOCKS za posredovanje prometa in se pridruži vmesniku povratne zanke.

Za IPv4 je napad mogoč, če rp_filter preklopite v način Loose. Mehanizem rp_filter se uporablja za dodatno preverjanje paketnih poti, da se prepreči ponarejanje izvornega naslova.

  • Če je nastavljeno na 0, izvorni naslov ni preverjen in vse pakete je mogoče brez omejitev preusmerjati med omrežne vmesnike.
  • Način 1 "Strogo" vključuje preverjanje, ali je vsak paket, ki prihaja od zunaj, skladen z usmerjevalno tabelo in če omrežni vmesnik, prek katerega je bil paket prejet, ni povezan z optimalno potjo dostave odziva, se paket zavrže.
  • Način 2 »Loose« zgladi preizkus, da se omogoči delovanje pri uporabi izravnalnikov obremenitve ali asimetričnega usmerjanja, pri čemer odzivna pot morda ne bo šla skozi omrežni vmesnik, prek katerega je prispel paket.

V načinu "Loose" se preveri, ali dohodni paket ustreza usmerjevalni tabeli, vendar velja za veljavno, če je do izvornega naslova mogoče dostopati prek katerega koli razpoložljivega omrežnega vmesnika.

Za izvedbo napada:

Prvi prehod, skozi katerega uporabnik vstopa, mora biti nadzorovan v omrežje (na primer prek organizacije MITM, ko se žrtev poveže z brezžično dostopno točko, ki jo nadzoruje napadalec, ali prek vdrtega usmerjevalnika).

Z nadzorom vrat povezava, prek katere je uporabnik povezan z omrežjem, napadalec lahko pošlje lažne pakete Zaznani bodo v kontekstu omrežnega vmesnika VPN, vendar bodo odgovori poslani skozi predor.

Pri ustvarjanju navideznega toka paketov, v katerem zamenja se naslov IP vmesnika VPN, poskuša se vplivati ​​na povezavo, ki jo vzpostavi strankae, vendar je vpliv teh paketov mogoče opaziti le s pasivno analizo šifriranega prometnega toka, povezanega z obratovanjem predora.

Če želite izvesti napad, ugotoviti morate naslov IP omrežnega vmesnika predora, ki ga dodeli strežnik VPN in tudi ugotovi, da je povezava do določenega gostitelja trenutno aktivna skozi predor.

Za določitev IP-ja vmesnika VPN navideznega omrežja, paketi se pošljejo v pakete SYN-ACK sistema žrtve, zaporedno urejanje celotnega obsega navideznih naslovov.

Podobno se ugotovi prisotnost povezave do določenega spletnega mesta in številka vrat na odjemalski strani: če uporabniku naročite številke vrat, se kot izvorni naslov, v katerem je nadomeščen IP mesta, pošlje paket SYN, ciljni naslov pa je virtualni IP VPN.

Strežniška vrata je mogoče predvideti (80 za HTTP), številko vrat na strani odjemalca pa lahko izračunamo s silo, pri različnih številkah analiziramo spremembo intenzivnosti odzivov ACK v kombinaciji z odsotnostjo paketa z zastavico RST.

Na tej stopnji napadalec pozna štiri elemente povezave (izvorni naslov IP / vrata in ciljni IP naslov / vrata), vendar za generiranje navideznega paketa, ki ga bo sprejel sistem žrtev, napadalec mora določiti zaporedje in številke za prepoznavanje (seq in ack) TCP-povezave.

Rešitev.

Končno za zaščito pri uporabi predorov z naslovi IPv4, dovolj je ugotoviti rp_filter v načinu "Strogo"

sysctl net.ipv4.conf.all.rp_filter = 1

Na strani VPN lahko način določanja zaporedne številke blokirate tako, da v šifrirane pakete dodate dodatno oblazinjenje, zaradi česar je velikost vseh paketov enaka.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

      Slika nadomestnega znaka Fernando Tlatilolpa je dejal

    Odličen prispevek k varnosti, še posebej v tistih časih, ko se povečajo varnostni napadi. Hvala in pozdrav.