Lỗ Hổng Linux TCP Flaw Cho Phép Hackers Sử Dụng Hijack Internet Traffic Để Cài Malware Remotely
Transmission Control Protocol (TCP) thực hiện trong tất cả các hệ thống Linux được triển khai kể từ năm 2012 (phiên bản 3.6 trở lên của hạt nhân Linux) đặt ra một mối đe dọa nghiêm trọng cho người sử dụng Internet, dù có hoặc không sử dụng Linux trực tiếp.
Vấn đề này đang gây phiền toái vì Linux được sử dụng rộng rãi trên Internet, từ các máy chủ web để điện thoại thông minh Android, máy tính bảng và TV thông minh.
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng Internet nghiêm trọng, mà nếu được khai thác, có thể cho phép kẻ tấn công để chấm dứt hoặc inject malware vào thông tin liên lạc không được mã hóa giữa bất kỳ giữa hai máy mắc lỗi này trên Internet.
Các tổn thương cũng có thể được sử dụng để chấm dứt một cách mạnh mẽ các kết nối HTTPS mã hóa và hạ cấp sự riêng tư của các kết nối an toàn, cũng như đang đe dọa nặc danh của người dùng Tor bằng cách định tuyến họ nhất định qua một rơle độc hại.
Một nhóm gồm sáu nhà nghiên cứu bảo mật từ Đại học California, Riverside và đội nghiên cứu đã chứng minh một bằng chứng của khái niệm khai thác tại Hội nghị An ninh USENIX lỗ hổng này có thể được sử dụng để phát hiện nếu hai host giao tiếp qua TCP và tấn công theo cách này.
Các nhà nghiên cứu phát hiện ra rằng cuộc tấn công 'Side channels' cho phép tin tặc đoán các số thứ tự gói tin TCP một cách chính xác trong vòng 10 giây đầu tiên của cuộc tấn công bằng cách sử dụng không có nhiều thông tin hơn là chỉ các địa chỉ IP của cả hai bên.
Điều này có nghĩa, kẻ tấn công có địa chỉ IP giả mạo không cần một (MITM) vị trí man-in-the-middle rõ ràng chặn và inject các gói tin TCP độc hại giữa bất kỳ hai máy tùy ý trên Internet.
Các nhà nghiên cứu chi tiết phát hiện của họ trong giấy tiêu đề, "Off-Path TCP Exploits: Global Rate Limit Considered Dangerous, mà họ trình bày tại hội nghị, cho khán giả thấy kết quả như thế nào khi họ inject một hình thức lừa đảo bên trong các trang web của USA Today.
Các nhà nghiên cứu cũng cho thấy làm thế nào các lỗ hổng ( CVE-2016-5696 ) có thể bị khai thác để phá vỡ (SSH) kết nối Secure Shell và làm xáo trộn thông tin liên lạc mã hóa du lịch qua mạng ẩn danh Tor.
Trong khi bản vá lỗi để sửa chữa các lỗ hổng được phát triển và phân phối cho các hạt nhân Linux hiện tại, như một cách giải quyết, bạn có thể nâng cao tốc độ hạn chế ACK trên máy tính Linux của bạn hoặc tiện ích để các giá trị lớn để nó không thể đạt được.
Đối với điều này, bạn được yêu cầu để nối thêm phần sau đây /etc/sysctl.conf:
Các nhà nghiên cứu cũng lưu ý rằng trong khi phiên bản Linux 3.6 và ở trên là dễ bị tấn công này, Windows, OS X và FreeBSD không được cho là dễ bị tổn thương bởi vì họ chưa thực hiện đầy đủ RFC 5961 trên tất cả hệ điều hành.
Vấn đề này đang gây phiền toái vì Linux được sử dụng rộng rãi trên Internet, từ các máy chủ web để điện thoại thông minh Android, máy tính bảng và TV thông minh.
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng Internet nghiêm trọng, mà nếu được khai thác, có thể cho phép kẻ tấn công để chấm dứt hoặc inject malware vào thông tin liên lạc không được mã hóa giữa bất kỳ giữa hai máy mắc lỗi này trên Internet.
Các tổn thương cũng có thể được sử dụng để chấm dứt một cách mạnh mẽ các kết nối HTTPS mã hóa và hạ cấp sự riêng tư của các kết nối an toàn, cũng như đang đe dọa nặc danh của người dùng Tor bằng cách định tuyến họ nhất định qua một rơle độc hại.
Giao thức TCP là trái tim của tất cả các thông tin liên lạc Internet, như tất cả các giao thức lớp ứng dụng, bao gồm cả HTTP, FTP, SSH, Telnet, DNS, và SMTP,....
Các máy chủ web và các ứng dụng khác sử dụng giao thức TCP để thiết lập kết nối giữa máy chủ để chuyển dữ liệu giữa chúng.
Một nhóm gồm sáu nhà nghiên cứu bảo mật từ Đại học California, Riverside và đội nghiên cứu đã chứng minh một bằng chứng của khái niệm khai thác tại Hội nghị An ninh USENIX lỗ hổng này có thể được sử dụng để phát hiện nếu hai host giao tiếp qua TCP và tấn công theo cách này.
Thông thường, giao thức TCP tập hợp các thông điệp vào một loạt các gói dữ liệu được xác định bởi số thứ tự duy nhất và truyền tới người nhận. Khi nhận được, các gói dữ liệu này sau đó được tập hợp lại bởi người nhận và thông báo lại như ban đầu.
Các nhà nghiên cứu phát hiện ra rằng cuộc tấn công 'Side channels' cho phép tin tặc đoán các số thứ tự gói tin TCP một cách chính xác trong vòng 10 giây đầu tiên của cuộc tấn công bằng cách sử dụng không có nhiều thông tin hơn là chỉ các địa chỉ IP của cả hai bên.
Điều này có nghĩa, kẻ tấn công có địa chỉ IP giả mạo không cần một (MITM) vị trí man-in-the-middle rõ ràng chặn và inject các gói tin TCP độc hại giữa bất kỳ hai máy tùy ý trên Internet.
Các nhà nghiên cứu chi tiết phát hiện của họ trong giấy tiêu đề, "Off-Path TCP Exploits: Global Rate Limit Considered Dangerous, mà họ trình bày tại hội nghị, cho khán giả thấy kết quả như thế nào khi họ inject một hình thức lừa đảo bên trong các trang web của USA Today.
Một Video Demos về cuộc tấn công loại này
Nhắm mục tiêu Mạng Tor
Các nhà nghiên cứu cũng cho thấy làm thế nào các lỗ hổng ( CVE-2016-5696 ) có thể bị khai thác để phá vỡ (SSH) kết nối Secure Shell và làm xáo trộn thông tin liên lạc mã hóa du lịch qua mạng ẩn danh Tor.
"Nói chung, chúng tôi tin rằng một cuộc tấn công DdoS [tấn công từ chối dịch vụ] tấn công chống lại các kết nối Tor có thể có một tác động tàn phá trên cả sự sẵn có của các dịch vụ nói chung và sự riêng tư đảm bảo rằng nó có thể cung cấp".
"Các chính sách mặc định trong Tor là nếu một kết nối là xuống giữa hai nút chuyển tiếp, nói một relay trung và một relay cuối cùng, tiếp sức giữa sẽ chọn một rơle ngẫu nhiên khác nhau để thiết lập các kết nối tiếp theo. Nếu kẻ tấn công có thể đọc mà kết nối được (thông qua các cuộc tấn công thiết lập lại), sau đó kẻ tấn công có thể có khả năng buộc việc sử dụng các rơle nhất định. "Nhóm nghiên cứu cũng cung cấp các khuyến nghị về làm thế nào để giảm thiểu các cuộc tấn công.
Đây là Làm thế nào để Giảm thiểu TCP tấn công
Trong khi bản vá lỗi để sửa chữa các lỗ hổng được phát triển và phân phối cho các hạt nhân Linux hiện tại, như một cách giải quyết, bạn có thể nâng cao tốc độ hạn chế ACK trên máy tính Linux của bạn hoặc tiện ích để các giá trị lớn để nó không thể đạt được.
Đối với điều này, bạn được yêu cầu để nối thêm phần sau đây /etc/sysctl.conf:
net.ipv4.tcp_challenge_ack_limit = 999999999Sau khi thực hiện, sử dụng sysctl -p để kích hoạt các quy tắc mới. Bạn cần phải thực hiện root để làm điều này.
Các nhà nghiên cứu cũng lưu ý rằng trong khi phiên bản Linux 3.6 và ở trên là dễ bị tấn công này, Windows, OS X và FreeBSD không được cho là dễ bị tổn thương bởi vì họ chưa thực hiện đầy đủ RFC 5961 trên tất cả hệ điều hành.
Không có nhận xét nào: