Bola objavená chyba zabezpečenia, ktorá umožňuje uniesť pripojenie VPN

Darkcrizt

4 minút

Hack Linux VNP

Pred pár dňami to vyšlo útočná technika (CVE-2019-14899), ktorý Umožňuje nahradiť, zmeniť alebo nahradiť pakety na pripojeniach TCP preposielaných cez tunely VPN. Problém Ovplyvňuje systémy Linux, FreeBSD, OpenBSD, Android, macOS, iOS a ďalšie systémy podobné systému Unix.

Metóda umožňuje substitúciu paketov na úrovni TCP spojení ktoré prechádzajú dovnútra šifrovaného tunela, ale neumožňuje pripojenie v pripojeniach využívajúcich ďalšie vrstvy šifrovania (napríklad TLS, HTTPS, SSH). Na šifrovacích algoritmoch používaných vo VPN nezáleží, pretože falošné pakety pochádzajú z externého rozhrania, ale jadro ich spracováva ako pakety z rozhrania VPN.

Najpravdepodobnejším cieľom útoku je narušenie nezašifrovaných pripojení HTTP, ale nie je vylúčené použitie útoku na manipuláciu s odpoveďami DNS.

Úspešná výmena balíka sa osvedčila pre tunely vytvorené s OpenVPN, WireGuard a IKEv2 / IPSec.Tor. Problém nie je ovplyvnený, pretože používa SOCKS na presmerovanie prenosu a pripája sa k rozhraniu spätnej slučky.

Pre IPv4 je útok možný, ak je rp_filter prepnutý do režimu Loose. Mechanizmus rp_filter sa používa na dodatočné overenie smerovania paketov, aby sa predišlo falšovaniu zdrojovej adresy.

  • Keď je nastavená na 0, zdrojová adresa nie je overená a akékoľvek pakety môžu byť presmerované medzi sieťovými rozhraniami bez obmedzení.
  • Režim 1 „Prísny“ zahŕňa overenie, či každý paket prichádzajúci zvonka vyhovuje smerovacej tabuľke, a ak sieťové rozhranie, cez ktoré bol paket prijatý, nie je pripojené k optimálnej ceste doručenia odpovede, paket sa zahodí.
  • Režim 2 „Uvoľnený“ vyhladzuje test, aby umožnil prevádzku pri použití nástrojov na vyrovnávanie zaťaženia alebo asymetrického smerovania, kde cesta odpovede nemusí prechádzať cez sieťové rozhranie, cez ktoré prichádzajúci paket prichádzal.

V režime „Loose“ sa kontroluje, či je prichádzajúci paket v súlade so smerovacou tabuľkou, ale považuje sa za platnú, ak je k zdrojovej adrese prístup cez akékoľvek dostupné sieťové rozhranie.

Ak chcete vykonať útok:

Primero brána, cez ktorú užívateľ vstupuje, musí byť ovládaná do siete (napríklad prostredníctvom organizácie MITM, keď sa postihnutý pripojí k bezdrôtovému prístupovému bodu ovládanému útočníkom alebo prostredníctvom hacknutého smerovača).

Ovládaním dverí odkaz, cez ktorý je užívateľ pripojený k sieti, útočník môže posielať atrapy paketov Budú vnímané v kontexte sieťového rozhrania VPN, ale odpovede sa budú posielať cez tunel.

Pri generovaní atrapy paketového toku, v ktorom IP adresa rozhrania VPN sa nahradí, dôjde k pokusu o ovplyvnenie spojenia nadviazaného klientome, ale vplyv týchto paketov je možné pozorovať iba prostredníctvom pasívnej analýzy šifrovaného toku prenosu súvisiaceho s prevádzkou tunela.

Vykonať útok, musíte zistiť IP adresu sieťového rozhrania tunela pridelenú serverom VPN a tiež zistiť, či je spojenie s konkrétnym hostiteľom v súčasnosti aktívne cez tunel.

Na určenie IP rozhrania VPN virtuálnej siete, pakety sa odosielajú do paketov SYN-ACK systému obete, postupné objednávanie celého rozsahu virtuálnych adries.

Podobne sa určuje prítomnosť spojenia s konkrétnym miestom a číslo portu na strane klienta: pri objednaní čísel portov používateľovi sa ako zdrojová adresa, v ktorej je nahradená adresa IP lokality, odošle paket SYN a cieľová adresa je virtuálna adresa IP VPN.

Port servera sa dá predvídať (80 pre HTTP) a číslo portu na strane klienta je možné vypočítať hrubou silou a analyzovať pre rôzne čísla zmenu intenzity odpovedí ACK v kombinácii s absenciou paketu s príznakom RST.

V tejto fáze útočník pozná štyri prvky spojenia (zdrojová IP adresa / port a cieľová IP adresa / port), ale na vygenerovanie fiktívneho paketu, ktorý systém obete prijme, útočník musí určiť poradie a rozpoznávacie čísla (seq a ack) TCP spojenia.

Riešenie.

Nakoniec na ochranu pri používaní tunelov s adresami IPv4, stačí založiť rp_filter v "prísnom" režime

sysctl net.ipv4.conf.all.rp_filter = 1

Na strane VPN je možné metódu určovania poradového čísla zablokovať pridaním dodatočnej výplne do šifrovaných paketov, čím sa veľkosť všetkých paketov zhoduje.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.

  1.   Zástupný obrázok pre Fernando Tlatilolpa dijo
    hace 3 rokov

    Vynikajúci bezpečnostný príspevok, najmä v časoch, keď sa zvýšili bezpečnostné útoky. Ďakujem a s pozdravom.

    Odpoveď Fernando Tlatilolpa