Un equipo de investigadores de seguridad cibernética ha revelado una nueva vulnerabilidad grave que afecta a la mayoría de los sistemas operativos Linux y similares a Unix, incluidos FreeBSD, OpenBSD, macOS, iOS y Android, que podría permitir que los «ataques adyacentes a la red» remotos espíen y alteren la VPN encriptada. conexiones

La vulnerabilidad, rastreada como CVE-2019-14899, reside en la pila de redes de varios sistemas operativos y puede explotarse contra transmisiones TCP IPv4 e IPv6.

Dado que la vulnerabilidad no depende de la tecnología VPN utilizada, el ataque funciona contra protocolos de redes privadas virtuales ampliamente implementados como OpenVPN, WireGuard, IKEv2/IPSec y más, confirmaron los investigadores.

Esta vulnerabilidad puede ser aprovechada por un atacante de la red, controlando un punto de acceso o conectado a la red de la víctima, simplemente enviando paquetes de red no solicitados a un dispositivo objetivo y observando las respuestas, incluso si están encriptadas.

Como explicaron los investigadores, aunque existen variaciones para cada uno de los sistemas operativos afectados, la vulnerabilidad permite a los atacantes:

• determinar la dirección IP virtual de una víctima asignada por el servidor VPN,
• determinar si hay una conexión activa a un sitio web determinado,
• determinar los números exactos de secuencia y confirmación contando los paquetes encriptados y/o examinando su tamaño, y
• inyectar datos en el flujo TCP y secuestrar conexiones.

«El punto de acceso puede entonces determinar la IP virtual de la víctima mediante el envío de paquetes SYN-ACK al dispositivo de la víctima en todo el espacio de IP virtual», dijo el equipo en su aviso.

«Cuando se envía un SYN-ACK a la IP virtual correcta en el dispositivo de la víctima, el dispositivo responde con un RST; cuando se envía el SYN-ACK a la IP virtual incorrecta, el atacante no recibe nada».

Al explicar las variaciones en el comportamiento de los diferentes sistemas operativos, como ejemplo, los investigadores dijeron que el ataque no funciona contra los dispositivos macOS/iOS como se describe.

En cambio, un atacante necesita «usar un puerto abierto en la máquina Apple para determinar la dirección IP virtual». En sus pruebas, los investigadores usan el «puerto 5223, que se usa para iCloud, iMessage, FaceTime, Game Center, Photo Stream y notificaciones automáticas, etc.»

Los investigadores probaron y explotaron con éxito la vulnerabilidad contra los siguientes sistemas operativos y los sistemas de inicio, pero creen que esta lista podría extenderse a medida que los investigadores prueben la falla en más sistemas.

• Ubuntu 19.10 (sistemad)
• Fedora (sistema)
• Debian 10.2 (sistema)
• Arco 2019.05 (sistema)
• Manjaro 18.1.1 (sistema)
• Devuan (iniciar sysV)
• MX Linux 19 (Mepis + antiX)
• Linux vacío (unidad de ejecución)
• Slackware 14.2 (rc.d)
• Deepin (rc.d)
• FreeBSD (rc.d)
• OpenBSD (rc.d)

«La mayoría de las distribuciones de Linux que probamos eran vulnerables, especialmente las distribuciones de Linux que usan una versión de systemd extraída después del 28 de noviembre del año pasado, que desactivó el filtrado de ruta inversa», dijeron los investigadores.

«Sin embargo, recientemente descubrimos que el ataque también funciona contra IPv6, por lo que activar el filtrado de ruta inversa no es una solución razonable».

Como posible mitigación, los investigadores sugirieron activar el filtrado de ruta inversa, implementar el filtrado de bogon y cifrar el tamaño y el tiempo de los paquetes para evitar que los atacantes hagan alguna inferencia.

Si bien los investigadores aún no han revelado los detalles técnicos de la vulnerabilidad, planean publicar un análisis en profundidad de esta falla y sus implicaciones relacionadas, después de que los proveedores afectados, incluidos Systemd, Google, Apple, OpenVPN, WireGuard y otras distribuciones de Linux. emitir soluciones y parches satisfactorios.