Un fallo de diseño grave en el núcleo de Linux podría ser explotada por atacantes para secuestrar el tráfico, inyectar el malware en las conexiones, y ejecutar una amplia gama de ataques.
Un defecto grave en el núcleo de Linux podría ser explotada por atacantes para secuestrar el tráfico, inyecte el malware en las descargas y páginas web, y ejecutar una amplia gama de ataques.
"En general, un ataque DoS contra conexiones Tor puede tener un impacto devastador en tanto la disponibilidad del servicio en su conjunto y garantiza la privacidad que puede proporcionar"
La falla está muy extendido, en distribuciones de Linux vulnerables están en todas partes, en PC, servidores, dispositivos móviles y los dispositivos IO.
El defecto grave (CVE-2016-5696) desde la versión 3.6, desplegado en 2012. Fue descubierto por investigadores de la Universidad de California, Riverside, y el Laboratorio de Investigación del Ejército de Estados Unidos que presentan sus hallazgos en el Simposio USENIX de Seguridad. El estudio se detalla en un artículo titulado "Off-Path TCP brechas de seguridad: Tasa Global límite considerado peligroso", que también incluye recomendaciones sobre la manera de mitigar el problema.
La falla de red TCP / IP permite a los atacantes al punto de comunicación entre dos entidades y se pueden explotar para secuestrar el tráfico y manipularlo si el cambio no está encriptada.
Los atacantes sólo necesitan enviar paquetes simulados a ambos lados de la conexión por el simple hecho de saber sus direcciones IP y puertos de destino.
"El aspecto único del ataque se ha demostrado es la muy baja exigencia para poder llevarlo a cabo", segun el líder del proyecto Zhiyun Qian.
"Esencialmente, se puede hacer fácilmente por cualquier persona en el mundo en el que una máquina de ataque es en una red que permite la simulación de IP. La única pieza de información que se necesita es el par de direcciones IP (para el cliente y el servidor víctima), que es bastante fácil de obtener ".
Dando una mirada cercana a la RFC 5961 podemos observar que se dirige a los ataques de inyección de paquetes falsificados mediante la introducción de paquetes ACK reto.
Los investigadores explotaron la función que la tasa de Linux limita la salida de estos ACK reto.
El atacante puede enviar paquetes maliciosos para confundir al servidor, que a su vez envía los ACK desafío al cliente hasta que llega a su límite y suspende temporalmente el envío de ellos. En esta fase, el atacante puede convertir al cliente y enviar paquetes IP simuladas para romper la conexión o para sustituir el servidor silenciada en la conexión.
"La causa de la vulnerabilidad es la introducción de las respuestas ACK desafío y el límite de la tasa mundial impuesta a ciertos paquetes de control TCP.", Explicaron los investigadores.
"A través de una extensa experimentación, se demuestra que el ataque es extremadamente eficaz y fiable. Dados dos anfitriones arbitrarias, se tarda sólo 10 segundos con éxito inferir si se están comunicando. Si hay una conexión, posteriormente, se necesita también solamente decenas de segundos para inferir los números de secuencia TCP utilizados en la conexión. Para demostrar el impacto, llevamos a cabo estudios de caso sobre una amplia gama de aplicaciones.
La idea básica consiste en repetir los siguientes pasos:
- 1) enviar paquetes simulados a la conexión bajo prueba (con un cuatro-tupla específica),
- 2) crear la contención en el límite de velocidad ACK mundial desafío, es decir, mediante la creación de una conexión regular de la atacante al servidor y provocando intencionadamente el máximo permitido ACK reto por segundo,
- 3) contar el número real de ACKs recibidos por reto en esa conexión. Si este número es menor que el límite del sistema, algunos ACKs reto deben haber sido enviada a través de la conexión bajo prueba, como respuestas a los paquetes falsificados ".
A la espera de un parche, los usuarios pueden elevar el límite de tarifa para los paquetes de desafío ACK de modo que no puede ser alcanzado, se puede hacer mediante la modificación de la regla en el /etc/sysctl.conf: net.ipv4.tcp_challenge_ack_limit = 999999999
A continuación, ejecutar sysctl -p para activarlo y erradicar la máquina.
El ataque podría ser también eficaz en la comunicación cifrada, pero sólo para romperlas. Los investigadores también añaden que Windows, OS X y FreeBSD no son vulnerables porque implementado parcialmente el RFC 5961.
