Hakkerit voivat kaapata VPN-yhteyksiä käyttämällä uutta Linux-haavoittuvuutta

Linux on yksi käytetyimmistä avoimen lähdekoodin käyttöjärjestelmistä. 4. joulukuuta 2019 Kybertutkijoiden ryhmä löysi haavoittuvuuden Linux-distroista ja muista Unix-käyttöjärjestelmistä, kuten OpenBSD, FreeBSD, iOS, macOS ja Android.

Tutkijaryhmä seurasi tätä haavoittuvuutta nimellä CVE-2019-14899, jonka avulla verkon vieressä oleva hakkeri voi saada tietoja käyttäjistä ilman heidän lupaansa.

Käyttäjän on oltava yhteydessä VPN:ään (Virtuaalinen yksityinen verkko). Tämän ehdon noudattamisen jälkeen hakkeri pääsee käsiksi VPN-palvelimen antaman virtuaalisen IP-osoitteen tietoihin sekä tietyn verkkosivuston yhteyden aktiivisuustilaan.

Tutkijat kertoivat, että hakkerit voivat tietää tarkat ack- ja seq-luvut laskemalla salattuja paketteja tai tutkimalla niiden kokoa. Tämän saavutettavuuden ansiosta hakkerit voivat syöttää tietoja TCP-virtaan ja kaapata yhteyden.

Hyökkäys syntyi Ubuntu 19.10:n julkaisun jälkeen, kun systemd-varaston sysctl.d/50-default.conf rp-suodatinasetukset on muutettu 'tiukkasta' 'löysä'-tilaan. Tämä muutos tapahtui 28. marraskuuta 2018. Tämän päivämäärän jälkeen kaikki järjestelmät, joissa on nämä asetukset, ovat nyt haavoittuvia.

Myös käänteisen polun suodatus poistui oletusarvoisesti 28. marraskuuta jälkeen. Tästä huolimatta äskettäin havaittu, että tämä hyökkäys toimii myös IPv6:ta vastaan, eikä käänteisen polun suodatuksen kytkeminen päälle enää kannata.

Tämä hyökkäys testattiin WireGuard-, OpenVPN- ja IKEv2/IPSec VPN -verkoilla. Vaikka tiimi sanoi, että he eivät testanneet tätä haavoittuvuutta TOR:lla, mutta he uskovat sen olevan haavoittumaton, koska se toimii SOCKS-kerroksessa ja sisältää todennuksen ja salauksen, joka tapahtuu käyttäjätilassa.

Tutkijaryhmä selitti tämän hyökkäyksen kolmessa vaiheessa:

1. Ensinnäkin tuntemalla VPN:n asiakkaan virtuaalinen IP-osoite.
2. Hyökkääjät tekevät päätelmiä aktiivisista yhteyksistä käyttämällä virtuaalista IP-osoitetta.
3. Saatuaan salatut vastaukset ei-toivotuille paketeille määrittääksesi aktiivisten yhteyksien järjestyksen ja lukumäärän TCP-istunnon kaappaamiseksi.

Tässä on luettelo haavoittuvista käyttöjärjestelmistä, jotka tiimi on jo testannut ja todennut haavoittuviksi: -

1. Ubuntu 19.10 (järjestelmällinen)
2. Fedora (järjestelmällinen)
3. Debian 10.2 (järjestelmällinen)
4. Arch 2019.05 (järjestelmällinen)
5. Manjaro 18.1.1 (järjestelmällinen)
6. Devuan (sysV init)
7. MX Linux 19 (Mepis+antiX)
8. Void Linux (runit)
9. Slackware 14.2 (rc.d)
10. Deepin (rc.d)
11. FreeBSD (rc.d)
12. OpenBSD (rc.d)

Kaikki käyttöjärjestelmät käyttäytyvät eri tavalla tätä haavoittuvuutta vastaan, mutta useimmat käyttöjärjestelmät ovat alttiina tälle hyökkäykselle macOS/iOS-laitteita lukuun ottamatta.

He kertoivat meille, että saadakseen macOS/iOS:n käytettävyyden hakkerin on käytettävä avointa viestiä saadakseen tietoa virtuaalisesta IP-osoitteesta. Tutkijat käyttivät porttia 5223, jota käytetään iCloudiin, iMessageen, FaceTimeen, Game Centeriin, Photo Streamiin ja palveluihin, kuten push-ilmoituksiin.

• Lukea -Kiinalaiset hakkerit murtautuivat Chromeen, Safariin ja paljastivat selaimen haavoittuvuuksia

Yllä olevasta luettelosta huolimatta tutkijat kertoivat meille, että he aikovat suorittaa tämän haavoittuvuustestin useammille käyttöjärjestelmille. Joten tulevaisuudessa lisää käyttöjärjestelmiä voitaisiin lisätä tähän haavoittuvuusluetteloon.

Tutkijat aikovat julkaista tiedot kaikista tämän haavoittuvuuden yksityiskohdista ja kaikista sen seurauksista. He mainitsivat myös, että he raportoivat haavoittuvuudesta oss-security () lists openwall com.

He raportoivat tästä haavoittuvuudesta myös muille asianomaisille palveluille, kuten Systemd, Google, Apple, OpenVPN ja WireGuard ja muut.