Prije nekoliko dana objavljen je tehnika napada (CVE-2019-14899), koji Omogućuje vam zamjenu, promjenu ili zamjenu paketa na TCP vezama prosljeđenim kroz VPN tunele. Problem Utječe na Linux, FreeBSD, OpenBSD, Android, macOS, iOS i druge sustave slične Unixu.
Metoda omogućuje zamjenu paketa na razini TCP veza koji prolaze unutar šifriranog tunela, ali ne dopušta povezivanje u vezama pomoću dodatnih slojeva šifriranja (na primjer, TLS, HTTPS, SSH). Algoritmi šifriranja koji se koriste u VPN-ovima nisu važni, jer lažni paketi dolaze s vanjskog sučelja, ali ih jezgra obrađuje kao pakete iz VPN sučelja.
Najizglednija meta napada je ometanje nešifriranih HTTP veza, ali upotreba napada za manipulaciju DNS odgovorima nije isključena.
Dokazana je uspješna zamjena paketa za stvorene tunele s OpenVPN, WireGuard i IKEv2 / IPSec.Tor. Na to problem ne utječe jer koristi SOCKS za prosljeđivanje prometa i pridružuje se povratnom sučelju.
Za IPv4 napad je moguć ako se rp_filter stavi u slobodni način. Mehanizam rp_filter koristi se za dodatnu provjeru putova paketa kako bi se izbjeglo lažno predstavljanje adrese izvora.
- Kada se postavi na 0, izvorna adresa se ne provjerava i svi se paketi mogu bez ograničenja preusmjeriti između mrežnih sučelja.
- Način 1 "Strogo" uključuje provjeru je li svaki paket koji dolazi izvana u skladu s tablicom usmjeravanja, a ako mrežno sučelje putem kojeg je paket primljen nije povezano na optimalnu putanju isporuke odgovora, paket se odbacuje.
- Način 2 "Loose" uglađuje test kako bi se omogućio rad pri korištenju uravnoteživača opterećenja ili asimetričnog usmjeravanja, gdje put odziva možda neće proći kroz mrežno sučelje preko kojeg je stigao dolazni paket.
U načinu "Loose" provjerava se je li dolazni paket u skladu s tablicom usmjeravanja, ali smatra se valjanim ako se izvornoj adresi može pristupiti putem bilo kojeg dostupnog mrežnog sučelja.
Da biste izvršili napad:
Prvo mora se kontrolirati pristupnik kroz koji korisnik ulazi na mrežu (na primjer, putem organizacije MITM, kada se žrtva poveže s bežičnom pristupnom točkom koju kontrolira napadač ili putem hakiranog usmjerivača).
Kontrolom vrata veza preko koje je korisnik spojen na mrežu, napadač može slati lažne pakete Oni će se percipirati u kontekstu sučelja VPN mreže, ali odgovori će se slati kroz tunel.
Prilikom generiranja lažnog toka paketa u kojem zamjenjuje se IP adresa VPN sučelja, pokušava se utjecati na vezu koju je uspostavio klijente, ali utjecaj ovih paketa može se promatrati samo pasivnom analizom protoka šifriranog prometa povezanog s radom tunela.
Da bi izveli napad, trebate saznati IP adresu mrežnog sučelja tunela dodijeljenu od VPN poslužitelja i također utvrditi da je veza s određenim hostom trenutno aktivna kroz tunel.
Za određivanje IP-a VPN sučelja virtualne mreže, paketi se šalju u SYN-ACK pakete žrtvinog sustava, sekvencijalno naručivanje cijelog raspona virtualnih adresa.
Slično tome, utvrđuje se prisutnost veze s određenim mjestom i broj porta na klijentskoj strani: poredajući brojeve porta prema korisniku, šalje se SYN paket kao izvorna adresa u koju je zamijenjen IP mjesta, a odredišna adresa je virtualni VPN IP.
Port poslužitelja se može predvidjeti (80 za HTTP), a broj porta na klijentskoj strani može se izračunati grubom silom, analizirajući za različite brojeve promjenu intenziteta odgovora ACK u kombinaciji s odsutnošću paketa s RST zastavom.
U ovoj fazi napadač poznaje četiri elementa veze (izvorna IP adresa / port i odredišna IP adresa / port), ali za generiranje lažnog paketa koji će žrtvin sustav prihvatiti, napadač mora odrediti redoslijed i brojeve prepoznavanja (slijedeće i prije) TCP-veze.
Riješenje.
Napokon za zaštitu pri korištenju tunela s IPv4 adresama, dovoljno je ustanoviti rp_filter u "Strogom" načinu
sysctl net.ipv4.conf.all.rp_filter = 1
Na VPN strani, metoda određivanja sekvencijskog broja može se blokirati dodavanjem dodatnih umotavanja u šifrirane pakete, čineći veličinu svih paketa jednakom.
Izvrstan doprinos sigurnosti, posebno u ovim vremenima kada su povećani sigurnosni napadi. Hvala i pozdrav.