قبل أيام قليلة أطلق سراحه تقنية هجوم (CVE-2019-14899) ، والتي يسمح لك باستبدال أو تغيير أو استبدال الحزم على اتصالات TCP المعاد توجيهها عبر أنفاق VPN. المشكلة إنه يؤثر على Linux و FreeBSD و OpenBSD و Android و macOS و iOS وأنظمة أخرى شبيهة بنظام Unix.
تسمح الطريقة باستبدال الرزم عند مستوى توصيلات TCP التي تمر داخل النفق المشفر ، لكنه لا يسمح بالاتصال في الاتصالات باستخدام طبقات تشفير إضافية (على سبيل المثال ، TLS ، HTTPS ، SSH). لا تهم خوارزميات التشفير المستخدمة في شبكات VPN ، حيث تأتي الحزم المزيفة من الواجهة الخارجية ، لكن النواة تعالجها كحزم من واجهة VPN.
الهدف الأكثر احتمالا للهجوم هو التدخل في اتصالات HTTP غير المشفرة، ولكن لا يتم استبعاد استخدام الهجوم للتلاعب بردود DNS.
تم إثبات استبدال العبوة بنجاح للأنفاق التي تم إنشاؤها مع OpenVPN و WireGuard و IKEv2 / IPSec.Tor. لا يتأثر بالمشكلة لأنه يستخدم SOCKS لإعادة توجيه حركة المرور والانضمام إلى واجهة الاسترجاع.
بالنسبة إلى IPv4 ، يكون الهجوم ممكنًا إذا تم وضع rp_filter في الوضع السائب. تُستخدم آلية rp_filter للتحقق بشكل إضافي من مسارات الحزمة لتجنب انتحال عنوان المصدر.
- عند التعيين على 0 ، لا يتم التحقق من عنوان المصدر ويمكن إعادة توجيه أي حزم بين واجهات الشبكة دون قيود.
- يتضمن الوضع 1 "صارم" التحقق من أن كل حزمة واردة من الخارج تتوافق مع جدول التوجيه ، وإذا كانت واجهة الشبكة التي تم استلام الحزمة من خلالها غير متصلة بمسار تسليم الاستجابة الأمثل ، يتم تجاهل الحزمة.
- يعمل النمط 2 "غير المحكم" على تسهيل الاختبار للسماح بالتشغيل عند استخدام موازين التحميل أو التوجيه غير المتماثل ، حيث قد لا يمر مسار الاستجابة عبر واجهة الشبكة التي وصلت عبرها الحزمة الواردة.
في الوضع "فضفاض" ، يتم التحقق من أن الحزمة الواردة تتوافق مع جدول التوجيه، ولكن يعتبر صالحًا إذا كان من الممكن الوصول إلى عنوان المصدر من خلال أي واجهة شبكة متاحة.
لتنفيذ هجوم:
الأول يجب التحكم في البوابة التي يدخل من خلالها المستخدم بالشبكة (على سبيل المثال ، من خلال منظمة MITM ، عندما يتصل الضحية بنقطة وصول لاسلكية يتحكم فيها المهاجم أو عبر جهاز توجيه مخترق)
عن طريق التحكم في الباب الرابط الذي من خلاله يتصل المستخدم بالشبكة ، يمكن للمهاجم إرسال حزم وهمية سيتم إدراكها في سياق واجهة شبكة VPN ، ولكن سيتم إرسال الردود عبر النفق.
عند إنشاء تيار حزمة وهمية فيه يتم استبدال عنوان IP الخاص بواجهة VPN, محاولة التأثير على الاتصال الذي أنشأه العميلe ، ولكن لا يمكن ملاحظة تأثير هذه الحزم إلا من خلال التحليل السلبي لتدفق حركة المرور المشفرة المرتبط بعملية النفق.
لتنفيذ هجوم ، تحتاج إلى معرفة عنوان IP الخاص بواجهة شبكة النفق التي تم تعيينها بواسطة خادم VPN وتحديد أن الاتصال بمضيف معين نشط حاليًا عبر النفق.
لتحديد IP لواجهة VPN للشبكة الافتراضية ، يتم إرسال الحزم إلى حزم SYN-ACK لنظام الضحية ، ترتيب مجموعة كاملة من العناوين الافتراضية بالتسلسل.
وبالمثل ، يتم تحديد وجود اتصال بموقع معين ورقم المنفذ من جانب العميل: طلب أرقام المنافذ للمستخدم ، يتم إرسال حزمة SYN كعنوان المصدر الذي يتم فيه استبدال عنوان IP الخاص بالموقع ، وعنوان الوجهة هو VPN IP الظاهري.
يمكن توقع منفذ الخادم (80 لـ HTTP) ، ويمكن حساب رقم المنفذ على جانب العميل بالقوة الغاشمة ، مع تحليل لأرقام مختلفة التغيير في شدة استجابات ACK جنبًا إلى جنب مع عدم وجود حزمة مع علامة RST.
في هذه المرحلة ، يعرف المهاجم العناصر الأربعة للاتصال (عنوان IP المصدر / المنفذ وعنوان IP الوجهة / المنفذ) ، ولكن لإنشاء حزمة وهمية يقبلها نظام الضحية ، يجب على المهاجم تحديد التسلسل وأرقام التعرف (seq and ack) TCP -connections.
المحلول.
أخيرًا للحماية عند استخدام الأنفاق بعناوين IPv4 ، يكفي إنشاء rp_filter في الوضع "الصارم"
sysctl net.ipv4.conf.all.rp_filter = 1
على جانب VPN ، يمكن حظر طريقة تحديد رقم التسلسل عن طريق إضافة حشوة إضافية إلى الحزم المشفرة ، مما يجعل حجم جميع الحزم متماثلًا.
مساهمة أمنية ممتازة ، خاصة في هذه الأوقات التي زادت فيها الهجمات الأمنية. شكرا مع تحياتي.