研究人员表示VPN漏洞会影响Linux和Unix系统

苹果(Apple)、谷歌(Google)和Linux发行商正在调查其操作系统面临的严重威胁。此前,安全研究人员本周表示,一个漏洞可能让攻击者拦截虚拟专用网中的流量。

研究人员从新墨西哥大学的一个团队中发现,攻击者能够进入一个接入点或一个相邻的用户,可以确定连接的用户是否正在使用VPN,对他们访问的网站进行积极的推断,并确定使用中的正确顺序和确认号码,允许坏参与者将数据注入TCP流。

“这提供了攻击者在VPN隧道内劫持活动连接所需的一切,”研究人员在博客中表示。

“此漏洞适用于OpenVPN、Wireard和IKEv2/IPSec,但尚未对Tor进行全面测试,但我们认为它在SOCKS层中运行时并不容易受到攻击,包括在用户空间中发生的身份验证和加密。然而,应当注意,所使用的VPN技术似乎并不重要,并且即使对来自受害者的响应进行了加密,也能够利用所发送的分组的大小和发送的分组的数量(例如,在询问ACK的情况下)来进行所有的推断,以确定通过加密的VPN隧道发送了什么类型的分组。”

除了Linux发行版之外,还向Systemd、Google、Apple、OpenVPN和WireGuard报告了该漏洞。研究人员还没有发表一篇关于他们的发现的详细论文,因为既没有解决办法,也没有发布补丁。

同时,他们也向IT管理员建议了三种缓解措施:

1.打开Linux反向路径过滤。许多Linux发行版在12个月前关闭了它,包括了一个新版本的systemd。测试的大多数发行版都是脆弱的,特别是新版本的发行版。然而,研究人员也承认这种攻击是针对IPv 6的,因此打开反向路径过滤是不合理的。

此外,即使在严格模式下进行反向路径过滤,攻击的前两部分也可以完成,允许攻击者对活动连接进行推断。

2.过滤所谓的伪IP地址的流量。根据维基百科(Wikipedia),巨龙包括公共互联网上的IP数据包,其中包含的地址不属于互联网分配数字管理局(IANA)或委托地区互联网注册中心(RIR)分配或委托的地址,这些地址允许公共互联网使用。

然而,研究人员说,用于VPN和本地网络的本地网络地址,以及包括伊朗在内的一些国家,使用保留的私有IP空间作为公共空间的一部分。

3.VPN厂商可以对数据包大小和时间进行加密。由于数据包的大小和数量允许攻击者绕过VPN服务提供的加密,研究人员认为可以在加密的数据包中添加某种填充,使其大小相同。此外,由于每个进程的挑战ACK允许我们确定加密的数据包是否是对ACK的挑战,允许主机在耗尽此限制后使用等效大小的数据包进行响应可能会阻止攻击者进行此推断。

在为AWS工作并帮助开发AmazonLinux和公司VPN产品的ColmMACCárthaigh博客中,他指出公司的产品没有受到漏洞的影响。

然而,他将这种攻击方法描述为“非常令人印象深刻”,并警告说,如果与DNS欺骗相结合,它可能会构成更严重的威胁。

MACCárthaigh写道:“加密的DNS查询和答复可以通过流量分析进行分析,并且回复‘暂停’,这样可以更容易地确保DNS欺骗尝试成功。”“这是一个很好的提醒,密码保护是最好的端到端;DNSSEC对此攻击没有帮助,因为它不保护存根解析器和解析器之间的通信。这也是一个很好的提醒,流量分析仍然是对网络加密最有效的威胁。“


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。