Vulnerabilità di Linux consente agli aggressori di dirottare le connessioni VPN


09 Dicembre 2019 - I ricercatori hanno trovato il modo per analizzare il traffico e “dirottare” la VPN sui sistemi Linux, macOS, iOS e Android.
I ricercatori hanno trovato il modo per analizzare il traffico e “dirottare” la VPN sui sistemi Linux, macOS, iOS e Android.

I ricercatori della sicurezza hanno scoperto una nuova vulnerabilità che consente ai potenziali aggressori di dirottare connessioni VPN su dispositivi * NIX interessati e iniettare payload di dati arbitrari nei flussi TCP IPv4 e IPv6.

Hanno rivelato il difetto di sicurezza tracciato come CVE-2019-14899 alle distribuzioni e al team di sicurezza del kernel Linux, nonché ad altri interessati come Systemd, Google, Apple, OpenVPN e WireGuard.

È noto che la vulnerabilità influisce sulla maggior parte delle distribuzioni Linux e dei sistemi operativi simili a Unix, inclusi FreeBSD, OpenBSD, macOS, iOS e Android.

Un elenco attualmente incompleto dei sistemi operativi vulnerabili e dei sistemi init con cui sono stati forniti è disponibile di seguito, con altri da aggiungere una volta testati e riscontrati interessati:

  - Ubuntu 19.10 (systemd)
  - Fedora (systemd)
  - Debian 10.2 (systemd)
  - Arch 2019.05 (systemd)
  - Manjaro 18.1.1 (systemd)
  - Devuan (sysV init)
  - MX Linux 19 (Mepis+antiX)
  - Void Linux (runit)
  - Slackware 14.2 (rc.d)
  - Deepin (rc.d)
  - FreeBSD (rc.d)
  - OpenBSD (rc.d)

Tutte le implementazioni VPN sono interessate

Questo difetto di sicurezza "consente a un attaccante adiacente alla rete di determinare se un altro utente è connesso a una VPN, l'indirizzo IP virtuale che gli è stato assegnato dal server VPN e se esiste o meno una connessione attiva a un determinato sito Web", secondo William J. Tolley, Beau Kujath e Jedidiah R. Crandall, Breakpointing Bad ricercatori dell'Università del New Mexico.

"Inoltre, siamo in grado di determinare i numeri esatti di seq e ack contando i pacchetti crittografati e / o esaminandone le dimensioni. Questo ci consente di iniettare dati nel flusso TCP e dirottare le connessioni", hanno detto i ricercatori.

Gli attacchi che sfruttano CVE-2019-14899 funzionano contro OpenVPN, WireGuard e IKEv2 / IPSec, ma i ricercatori stanno ancora testando la loro fattibilità contro Tor.

Notano inoltre che la tecnologia VPN utilizzata non sembra essere importante poiché gli attacchi hanno funzionato durante i loro test anche quando le risposte ottenute dai target erano crittografate, dato che la dimensione dei pacchetti e il numero di pacchetti inviati erano sufficienti per trovare il tipo di pacchetti di dati che venivano consegnati attraverso il tunnel VPN crittografato.

I ricercatori hanno scoperto che la maggior parte delle distro Linux testate erano vulnerabili agli attacchi che sfruttano questo difetto. Hanno anche scoperto che tutte le distro che utilizzano versioni di systemd rilasciate dopo il 28 novembre 2018, che vengono fornite con il filtro Reverse Path passato dalla modalità Strict alla modalità Loose, sono vulnerabili.

Detto questo, tutte le distribuzioni Linux che usano una versione di systemd con configurazioni predefinite dopo questa data sono vulnerabili. È importante notare che, nonostante alcune distro con specifiche versioni di systemd siano vulnerabili, è noto che il difetto ha un impatto su una varietà di sistemi init e non è solo correlato a systemd, come mostrato dall'elenco dei sistemi operativi interessati disponibili sopra.

La procedura completa per riprodurre la vulnerabilità sulle distro Linux è spiegata in dettaglio nel rapporto di divulgazione disponibile qui pubblicamente.

Il team di ricerca sta pianificando di pubblicare un documento con un'analisi approfondita di questa vulnerabilità e delle sue implicazioni, ma solo dopo aver trovato una soluzione adeguata.



Commenti:

Nessun commento

Accedi al portale per commentare l'articolo. Accedi