Уязвимост, която позволява TCP връзки, направени през VPN тунели, да бъдат отвлечени

Публикувано техника за атака (CVE-2019-14899), която позволява пакети да бъдат подправени, модифицирани или заменени в TCP връзки, препращани през VPN тунели. Проблемът засяга Linux, FreeBSD, OpenBSD, Android, macOS, iOS и други Unix-подобни системи. Linux поддържа механизма rp_filter (филтриране по обратен път) за IPv4, включването му в режим „Стрикт“ неутрализира този проблем.

Методът позволява заместване на пакети на ниво TCP връзки, преминаващи вътре в криптиран тунел, но не позволява вклиняване във връзки, които използват допълнителни слоеве за криптиране (например TLS, HTTPS, SSH). Алгоритмите за криптиране, използвани във VPN, нямат значение, тъй като фалшивите пакети идват от външния интерфейс и се обработват от ядрото като пакети от VPN интерфейса. Най-вероятната цел на атаката е да се намеси в некриптирани HTTP връзки, но не е изключено и използване на атака за манипулиране на DNS отговори.

Демонстрирано е успешно подправяне на пакети за тунели, създадени с помощта на OpenVPN, WireGuard и IKEv2/IPSec.Tor не е податлив на проблема, тъй като използва SOCKS за препращане на трафик и е свързан с интерфейс за обратна връзка. За IPv4 е възможна атака, ако rp_filter е настроен на режим „Loose“ (sysctl net.ipv4.conf.all.rp_filter = 2). Първоначално повечето системи използваха режим „Стрикт“, но започвайки от системен 240, издаден миналия декември, режимът на работа по подразбиране беше променен на „Loose“ и тази промяна беше отразена в настройките по подразбиране на много Linux дистрибуции.

механизъм rp_filter прилага за допълнителна проверка на пътеките на пакетите, за да се предотврати подправяне на адреса на източника. Когато е зададено на 0, не се извършва проверка на адреса на източника и всеки пакет може да бъде препратен между мрежовите интерфейси без ограничения. Режим 1 „Строг“ включва проверка на всеки пакет, идващ отвън, за съответствие с таблицата за маршрутизиране и ако мрежовият интерфейс, през който е получен пакетът, не е свързан с оптималния маршрут за доставка на отговор, тогава пакетът се отхвърля. Режим 2 „Разхлабен“ облекчава проверката, за да позволи на балансьорите на натоварването или асиметричното маршрутизиране да работят, когато
Маршрутът на отговора може да премине през мрежов интерфейс, различен от този, през който е пристигнал входящият пакет.

В свободен режим входящият пакет се проверява спрямо таблицата за маршрутизиране, но се счита за валиден, ако адресът на източника е достъпен през всеки наличен мрежов интерфейс. Предложената атака се основава на факта, че атакуващият може да изпрати пакет с подправен адрес на източник, съответстващ на VPN интерфейса, и въпреки факта, че този пакет ще влезе в системата през външния мрежов интерфейс, а не през VPN, в rp_filter Режим „Разхлабен“ такъв пакет няма да бъде отхвърлен.

За да извърши атака, нападателят трябва да контролира шлюза, през който потребителят осъществява достъп до мрежата (например чрез MITM организация, когато жертвата се свързва с контролирана от нападателя безжична точка за достъп или чрез хакване на рутер). Чрез контролиране на шлюза, през който потребителят е свързан към мрежата, нападателят може да изпрати фалшиви пакети, които ще бъдат възприети в контекста на мрежовия интерфейс на VPN, но отговорите ще бъдат насочени през тунела.

Чрез генериране на поток от фиктивни пакети, в които IP адресът на VPN интерфейса е заменен, се правят опити да се повлияе на връзката, установена от клиента, но влиянието на тези пакети може да се наблюдава само чрез пасивен анализ на криптирания трафик, свързан с с експлоатацията на тунела. За да извършите атака, трябва да разберете IP адреса на мрежовия интерфейс на тунела, зададен от VPN сървъра, и също така да определите, че връзката към конкретен хост е активна в момента през тунела.

За да се определи IP на виртуалния мрежов интерфейс на VPN, пакетите SYN-ACK се изпращат до системата на жертвата, като последователно изброяват целия диапазон от виртуални адреси (на първо място, адресите, използвани във VPN, се изброяват по подразбиране, например OpenVPN използва подмрежата 10.8.0.0/24). Съществуването на адрес може да се прецени въз основа на получаването на отговор с RST флаг.

По подобен начин се определя наличието на връзка към даден сайт и номера на порта от страна на клиента - чрез сортиране на номерата на портовете, към потребителя се изпраща SYN пакет, като адрес на източника, в който се записва сайта IP се замества и адресът на местоназначение е виртуална IP VPN. Портът на сървъра може да бъде предвиден (80 за HTTP), а номерът на порта от страна на клиента може да бъде изчислен чрез груба сила, анализирайки за различни числа промяната в интензитета на ACK отговорите в комбинация с липсата на пакет с RST знаме.

На този етап атакуващият знае всичките четири елемента на връзката (изходен IP адрес/порт и целеви IP адрес/порт), но за да генерира фиктивен пакет, който жертвата ще приеме, атакуващият трябва да определи TCP последователността и номера за потвърждение (seq и ack) - връзки. За да определи тези параметри, атакуващият непрекъснато изпраща фалшиви RST пакети, опитвайки различни последователни номера, докато открие ACK пакет с отговор, пристигането на който показва, че номерът попада в TCP прозореца.

След това атакуващият изяснява правилността на дефиницията, като изпраща пакети със същия номер и наблюдава пристигането на ACK отговори, след което избира точния номер на текущата последователност. Задачата се усложнява от факта, че отговорите се изпращат вътре в криптиран тунел и присъствието им в прихванатия поток от трафик може да се анализира само чрез косвени методи. Дали клиентът изпраща ACK пакет, адресиран до VPN сървъра, се определя въз основа на размера и латентността на криптираните отговори, които корелират с изпращането на фалшиви пакети. Например, за OpenVPN размер на шифрован пакет от 79 ви позволява точно да прецените, че съдържа ACK.

Докато защитата от атаки не бъде добавена към ядрото на операционната система като временен метод за блокиране на проблема препоръчва се използвайки филтър за пакети във веригата „preroute“, блокирайте преминаването на пакети, в които виртуалният IP адрес на тунела е посочен като адрес на местоназначение.

iptables -t raw -I PREROUTING! -i wg0 -d 10.182.12.8 -m addrtype! --src-тип ЛОКАЛЕН -j ПУСКАНЕ

или за nftables

nft добавяне на таблица ip raw
nft add chain ip raw prerouting '{ type filter hook prerouting priority 0; }'
nft add правило ip raw prerouting 'iifname != "wg0" ip daddr 10.182.12.8 fib saddr type != local drop'

За да се защитите, когато използвате тунели с IPv4 адреси, просто задайте rp_filter на „Строг“ режим („sysctl net.ipv4.conf.all.rp_filter = 1“). От страна на VPN, методът за откриване на пореден номер може да бъде блокиран чрез добавяне на допълнителна подложка към криптираните пакети, което прави всички пакети с еднакъв размер.

Източник: opennet.ru