Nova vulnerabilidade permite que invasores sequestrem conexões VPN nos sistemas UNIX

Hackers começam a violar VPNs à medida que o mundo se move para o trabalho remoto
Durante anos, as VPNs forneceram uma maneira segura para os funcionários acessarem redes corporativas remotamente.

Ninguém está totalmente seguro na internet. Nem mesmo com todos os meios hoje existentes. Acaba de ser descoberta uma nova vulnerabilidade que permite que invasores sequestrem conexões VPN na maioria dos sistemas UNIX. E não é uma falha qualquer. Ela afeta o OpenVPN, WireGuard e IKEv2/IPSec.

O problema foi relatado pelo pesquisador de segurança William J. Tolley. Ele descobriu a nova vulnerabilidade que parece permitir que invasores sequestrem conexões VPN.

Nova vulnerabilidade permite que invasores sequestrem conexões VPN na maioria dos sistemas UNIX

Nova vulnerabilidade permite que invasores sequestrem conexões VPN na maioria dos sistemas UNIX

Portanto, o problema é sério e afeta a maioria das distribuições GNU/Linux, bem como os sistemas FreeBSD, OpenBSD, Android, iOS e macOS. A nova vulnerabilidade de segurança pode permitir que um invasor local determine se outro usuário está conectado a um servidor VPN (Rede Privada Virtual) e se deve ou não há uma conexão ativa com um determinado site.

A vulnerabilidade (CVE-2019-14899) é explorável com acesso à rede adjacente, o que exige que o invasor tenha acesso ao domínio de broadcast ou colisão do sistema operacional vulnerável e permite que os invasores sequestrem conexões injetando dados no TCP (Transmission Protocolo de Controle).

Foi relatado que a vulnerabilidade funciona contra várias soluções VPN populares, incluindo OpenVPN, IKEv2/IPSec e WireGuard. Além disso, não importa qual tecnologia VPN esteja sendo usada, permitindo que o invasor determine o tipo de pacote que está sendo enviado através o túnel VPN criptografado.

A maioria das distribuições Linux que testamos eram vulneráveis, especialmente as distribuições Linux que usam uma versão do systemd retirada após 28 de novembro do ano passado que desativou a filtragem de caminhos inversos. No entanto, descobrimos recentemente que o ataque também funciona contra o IPv6, tornando-o reverso. a filtragem de caminhos não é uma solução razoável, disse Tolley.

Vários sistemas afetados

Noel Kuntze, consultor de segurança de TI da Alemanha, relata que esse tipo de ataque funciona independentemente de você ter uma VPN ou não e não ser específico do sistema. Ele também afirma que eles afetam apenas VPNs baseadas em rotas e não VPNs baseadas em policys. Além disso, esses ataques não funcionam contra conexões habilitadas para TOR e têm um impacto limitado na maioria dos usuários.

Um invasor só pode injetar pacotes atacando a conexão sempre que estiver desprotegido (por exemplo, em uma configuração comercial de provedor de VPN que seria quando a conexão” sai “do servidor VPN e vai para o destino na WAN). Fora disso, tudo bem, disse Noel Kuntze.

Uma solução alternativa satisfatória ainda está para ser descoberta

O pesquisador afirma ter testado a vulnerabilidade contra várias distribuições populares do GNU/Linux e BSD, incluindo o Arch Linux 2019.05 (systemd), Debian 10.2 (systemd), Deepin (rc.d), Devuan (sysV init), Fedora (systemd), FreeBSD (rc.d), Manjaro 18.1.1 (systemd), MX Linux 19 (Mepis e antiX), OpenBSD (rc.d), Ubuntu 19.10 (systemd), Slackware 14.2 (rc.d) e Void Linux (runit), porém, muitos outros poderiam ser afetados também.

Possíveis atenuações incluem ativar a filtragem de caminho reverso, criando um arquivo /etc/sysctl.d/51-rpfilter.conf com o conteúdo “net.ipv4.conf.all.rp_filter = 1“, filtragem Bogon, bem como o tamanho do pacote criptografado e tempo. Entretanto, cada um deles com possíveis problemas em diferentes ambientes. Portanto, é recomendável aguardar até que a vulnerabilidade seja corrigida no sistema operacional de sua escolha. Assim, recomendamos que os usuários mantenham seus sistemas atualizados o tempo todo e instalem todas as atualizações de software disponíveis.

Fonte: Softpedia

Acesse a versão completa
Sair da versão mobile