Хакерите могат да откраднат VPN връзки, използвайки нова уязвимост на Linux

Linux е една от най-използваните операционни системи с отворен код. На 4 декември 2019 г. Екип от кибер изследователи откри уязвимост в Linux дистрибуции и други Unix операционни системи, като OpenBSD, FreeBSD, iOS, macOS и Android.

Екипът от изследователи проследи тази уязвимост като CVE-2019-14899, която позволява на хакер в съседна мрежа да получи информация за потребителите без тяхно разрешение.

Потребителят трябва да е свързан към VPN (Виртуална частна мрежа). След като изпълни това условие, хакерът ще може да получи достъп до информацията за виртуалния IP адрес, зададен от VPN сървъра, както и статуса на активност на връзката на даден уебсайт.

Изследователите казаха, че хакерите могат да знаят за точните ack и seq номера, като преброят криптираните пакети или изследват техния размер. С тази достъпност хакерите ще могат да инжектират данни в TCP потока и да отвлекат връзката.

Атаката се появи след пускането на Ubuntu 19.10, когато настройките на rp-филтъра на sysctl.d/50-default.conf в хранилището на systemd бяха променени от „строг“ на „свободен“ режим. Тази промяна се случи на 28 ноември 2018 г. След тази дата всички системи с тези настройки вече са уязвими.

След 28 ноември филтрирането по обратен път също се изключи по подразбиране. Въпреки това наскоро беше открито, че тази атака работи и срещу IPv6 и включването на филтриране по обратен път вече не си струва.

Тази атака е тествана с WireGuard, OpenVPN и IKEv2/IPSec VPN. Въпреки че екипът каза, че не е тествал тази уязвимост с TOR, но смята, че е неуязвима, защото работи в слоя SOCKS и включва удостоверяване и криптиране, което се случва в потребителското пространство.

Екипът от изследователи обясни тази атака в 3 стъпки:

1. Първо, като знаете виртуалния IP адрес на клиента на VPN.
2. Нападателите ще направят изводи за активни връзки, като използват виртуалния IP адрес.
3. След получаване на криптираните отговори на непоискани пакети, за да се определи последователността и броя на активните връзки за Hijack на TCP сесията.

Ето списъка с уязвимите операционни системи, които екипът вече е тествал и намерил за уязвими: -

1. Ubuntu 19.10 (systemd)
2. Fedora (systemd)
3. Debian 10.2 (systemd)
4. Arch 2019.05 (systemd)
5. Manjaro 18.1.1 (systemd)
6. Devuan (sysV init)
7. MX Linux 19 (Mepis+antiX)
8. Void Linux (рунит)
9. Slackware 14.2 (rc.d)
10. Deepin (rc.d)
11. FreeBSD (rc.d)
12. OpenBSD (rc.d)

Поведението на всички операционни системи е различно срещу тази уязвимост, но повечето операционни системи са уязвими на тази атака, с изключение на устройствата с macOS/iOS.

Казаха ни, че за да получим достъпността на macOS/iOS, хакерът трябва да използва отворена публикация, за да получи информация за виртуалния IP адрес. Изследователите са използвали „порт 5223, който се използва за iCloud, iMessage, FaceTime, Game Center, Photo Stream и услуги като push известия.

• Прочети -Китайски хакери проникнаха в Chrome, Safari и разкриха уязвимости в браузъра

Въпреки горния списък, изследователите ни казаха, че ще проведат този тест за уязвимост на повече операционни системи. Така че в бъдеще към този списък с уязвимости може да се добавят повече операционни системи.

Изследователите планират да публикуват запис на всички подробности за тази уязвимост и всички нейни последици. Те също така споменаха, че ще докладват уязвимостта на oss-security () списъците openwall com.

Те също така докладват тази уязвимост на други засегнати услуги като Systemd, Google, Apple, OpenVPN и WireGuard и др.