Lỗ hổng mới trên Linux cho phép tin tặc Hijacking kết nối VPN đã được mã hóa

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Một nhóm các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng nghiêm trọng mới, ảnh hưởng đến hầu hết các hệ điều hành như Linux và Unix – bao gồm FreeBSD, OpenBSD, macOS, iOS và Android – có thể cho phép “kẻ tấn công mạng liền kề” (network adjacent attackers) theo dõi từ xa và giả mạo các kết nối VNP đã được mã hóa. 

hệ điều hành linux

Được ghi nhận là CVE-2019-14899, lỗ hổng nằm trong network stack (chồng giao thức) của các hệ điều hành khác nhau và có thể được khai thác chống lại cả hai luồng TCP TCP và IPv6.

Các nhà nghiên cứu xác nhận do lỗ hổng không dựa trên công nghệ VPN, các cuộc tấn công sẽ hoạt động chống lại các giao thức mạng riêng ảo được triển khai rộng rãi như OpenVPN, WireGuard, IKEv2 / IPSec,…

Tin tặc có thể kiểm soát một điểm truy cập hoặc kết nối với mạng của nạn nhân chỉ bằng cách gửi network packet không được yêu cầu đến một thiết bị mục tiêu và theo dõi phản hồi ngay cả khi chúng đã được mã hóa.

>>> Xem thêm các tin tức mới nhất về lỗ hổng

Theo giải thích của các nhà nghiên cứu, mặc dù có các biến thể cho từng hệ điều hành bị ảnh hưởng, nhưng nhìn chung, lỗ hổng sẽ cho phép kẻ tấn công:

  • Xác định địa chỉ IP ảo của nạn nhân được chỉ định bởi máy chủ VPN;
  • Xác định xem có kết nối trong trạng thái đang hoạt động với một trang web cho trước hay không;
  • Xác định chính xác số seq và ack bằng cách đếm các packets được mã hóa và/hoặc kiểm tra kích thước của chúng;
  • Tiêm dữ liệu vào luồng TCP và kết nối hijack;

“Điểm truy cập có thể xác định IP ảo của nạn nhân bằng cách gửi các gói SYN-ACK đến thiết bị của nạn nhân trên toàn bộ không gian IP ảo” – nhóm nghiên cứu cho biết.

“Khi một SYN-ACK được gửi đến đúng IP ảo trên thiết bị nạn nhân, thiết bị sẽ phản hồi với một RST; khi SYN-ACK được gửi đến IP ảo không chính xác, tin tặc sẽ không nhận được gì.”

Trong khi giải thích các biến thể khác nhau đối với từng hệ điều hành, các nhà nghiên cứu cho biết lỗ hổng trên không hoạt động cùng phương thức đối với các thiết bị macOS/iOS. Thay vào đó, kẻ tấn công cần “sử dụng một cổng mở trên máy Apple để xác định địa chỉ IP ảo”. Trong thử nghiệm của họ, các nhà nghiên cứu đã sử dụng cổng 5223 – được sử dụng cho iCloud, iMessage, FaceTime, Game Center, Photo Stream và push notification,….

Các nhà nghiên cứu đã thử nghiệm và khai thác thành công lỗ hổng trên các hệ điều hành và hệ thống init sau đây, nhưng họ tin rằng danh sách này có thể dài hơn khi các nhà nghiên cứu tiếp tục kiểm tra trên nhiều hệ thống hơn.

  • Ubuntu 19.10 (hệ thống)
  • Fedora (hệ thống)
  • Debian 10.2 (hệ thống)
  • Arch 2019.05 (systemd)
  • Manjaro 18.1.1 (hệ thống)
  • Devuan (sysV init)
  • MX Linux 19 (Mepis + antiX)
  • Vô hiệu Linux (runit)
  • Slackware 14.2 (RC.d)
  • Deepin (RC.d)
  • FreeBSD (RC.d)
  • OpenBSD (RC.d)

Các nhà nghiên cứu cho biết: “Hầu hết các bản phân phối Linux mà chúng tôi đã thử nghiệm đều dễ bị tấn công, đặc biệt là các bản phân phối Linux sử dụng phiên bản systemd sau ngày 28 tháng 11 năm ngoái – phiên bản đã loại bỏ tính năng lọc reverse path”

“Tuy nhiên, gần đây chúng tôi đã phát hiện ra rằng lỗ hổng cũng hoạt động chống lại IPv6, do đó, việc lọc reserve path lại không phải là một giải pháp hợp lý.”

Để giảm thiểu thiệt hại, các nhà nghiên cứu khuyến nghị bạn nên bật tính năng bộ lọc reserve path, bogon, mã hóa kích thước và thời gian của packets để ngăn chặn kẻ tấn công thực hiện bất kỳ suy luận nào.

Mặc dù các nhà nghiên cứu chưa tiết lộ những chi tiết kỹ thuật về lỗ hổng này nhưng họ đang lên kế hoạch công bố một phân tích chuyên sâu về nó và những hệ lụy liên quan. Tất nhiên là sau khi các nhà cung cấp bị ảnh hưởng, bao gồm Systemd, Google, Apple, OpenVPN, WireGuard và các bản phân phối Linux khác nhau cập nhập bản vá lỗi.