פגיעות המאפשרת לחטוף חיבורי TCP שנעשו דרך מנהרות VPN

יצא לאור טכניקת תקיפה (CVE-2019-14899) המאפשרת לזייף, לשנות או להחליף מנות בחיבורי TCP המועברים דרך מנהרות VPN. הבעיה משפיעה על לינוקס, FreeBSD, OpenBSD, אנדרואיד, macOS, iOS ומערכות אחרות דמויות יוניקס. לינוקס תומכת במנגנון rp_filter (סינון מסלול הפוך) עבור IPv4, הפעלתו במצב "קפדני" מנטרלת בעיה זו.

השיטה מאפשרת החלפת מנות ברמת חיבורי TCP העוברים בתוך מנהרה מוצפנת, אך אינה מאפשרת תקיעה לתוך חיבורים המשתמשים בשכבות הצפנה נוספות (לדוגמה, TLS, HTTPS, SSH). אלגוריתמי ההצפנה המשמשים ב-VPN אינם חשובים, מכיוון שהמנות המזויפות מגיעות מהממשק החיצוני ומעובדות על ידי הליבה כמנות מממשק ה-VPN. המטרה הסבירה ביותר של המתקפה היא להפריע לחיבורי HTTP לא מוצפנים, אבל לא נכלל ושימוש בהתקפה כדי לתפעל תגובות DNS.

זיוף מנות מוצלח הודגם עבור מנהרות שנוצרו באמצעות OpenVPN, WireGuard ו-IKEv2/IPSec. Tor אינו רגיש לבעיה, מכיוון שהוא משתמש ב-SOCKS כדי להעביר תעבורה והוא קשור לממשק לולאה חוזר. עבור IPv4, התקפה אפשרית אם rp_filter מוגדר למצב "Loose" (sysctl net.ipv4.conf.all.rp_filter = 2). בתחילה, רוב המערכות השתמשו במצב "קפדני", אך החל מ במקום 240, שיצא בדצמבר האחרון, מצב ההפעלה המוגדר כברירת מחדל שונה ל-"Loose" ושינוי זה בא לידי ביטוי בהגדרות ברירת המחדל של הפצות לינוקס רבות.

מנגנון rp_filter חל לאימות נוספת של נתיבי מנות כדי למנוע זיוף כתובות מקור. כאשר מוגדר ל-0, לא מתבצעת בדיקת כתובת מקור וניתן להעביר כל מנה בין ממשקי רשת ללא הגבלות. מצב 1 "קפדני" כולל בדיקת כל חבילה שמגיעה מבחוץ לתאימות עם טבלת הניתוב, ואם ממשק הרשת שדרכו התקבלה החבילה אינו משויך למסלול מסירת התגובה האופטימלי, החבילה נמחקת. מצב 2 "רופף" מרפה את הבדיקה כדי לאפשר למאזני עומסים או לניתוב א-סימטרי לעבוד כאשר
מסלול התגובה עשוי לעבור דרך ממשק רשת שונה מזה שדרכו הגיעה החבילה הנכנסת.

במצב Loose, חבילה נכנסת נבדקת מול טבלת הניתוב, אך נחשבת לתקפה אם ניתן להגיע לכתובת המקור דרך כל ממשק רשת זמין. המתקפה המוצעת מבוססת על כך שהתוקף יכול לשלוח חבילה עם כתובת מקור מזויפת התואמת לממשק ה-VPN, ולמרות שהחבילה הזו תיכנס למערכת דרך ממשק הרשת החיצוני ולא דרך ה-VPN, ב- rp_filter מצב "רופף" חבילה כזו לא תימחק.

כדי לבצע תקיפה, על התוקף לשלוט בשער שדרכו המשתמש ניגש לרשת (לדוגמה, דרך ארגון MITM, כאשר הקורבן מתחבר לנקודת גישה אלחוטית הנשלטת על ידי תוקף, או באמצעות פריצת נתב). על ידי שליטה בשער שדרכו משתמש מחובר לרשת, תוקף יכול לשלוח מנות מזויפות שייתפסו בהקשר של ממשק רשת ה-VPN, אך התגובות ינותבו דרך המנהרה.

על ידי יצירת זרם של מנות פיקטיביות שבהן מוחלפת כתובת ה-IP של ממשק ה-VPN, נעשים ניסיונות להשפיע על החיבור שנוצר על ידי הלקוח, אך ניתן לראות את ההשפעה של מנות אלו רק באמצעות ניתוח פסיבי של זרימת התעבורה המוצפנת הקשורה עם הפעלת המנהרה. כדי לבצע תקיפה, עליך לברר את כתובת ה-IP של ממשק רשת המנהרה שהוקצה על ידי שרת ה-VPN, וכן לקבוע שחיבור למארח ספציפי פעיל כעת דרך המנהרה.

כדי לקבוע את ה-IP של ממשק הרשת הוירטואלית של VPN, מנות SYN-ACK נשלחות למערכת הקורבן, המונה ברצף את כל טווח הכתובות הווירטואליות (קודם כל, הכתובות המשמשות ב-VPN נספרו כברירת מחדל, למשל, OpenVPN משתמש ברשת המשנה 10.8.0.0/24). ניתן לשפוט את קיומה של כתובת בהתבסס על קבלת תגובה עם דגל RST.

באופן דומה, נוכחות החיבור לאתר מסוים ומספר הפורט בצד הלקוח נקבעים - על ידי מיון מספרי הפורטים, נשלחת למשתמש חבילת SYN, ככתובת המקור, שבה ה-IP של האתר מוחלף, וכתובת היעד היא VPN IP וירטואלי. ניתן לחזות את יציאת השרת (80 עבור HTTP), וניתן לחשב את מספר היציאה בצד הלקוח על ידי כוח גס, לנתח עבור מספרים שונים את השינוי בעוצמת תגובות ה-ACK בשילוב עם היעדר מנה עם ה-RST דֶגֶל.

בשלב זה, התוקף מכיר את כל ארבעת האלמנטים של החיבור (כתובות IP מקור/יציאה וכתובת/יציאת IP של יעד), אך על מנת ליצור חבילה פיקטיבית שמערכת הקורבן תקבל, על התוקף לקבוע את רצף ה-TCP ו מספרי אישור (seq ו-ack) - חיבורים. כדי לקבוע את הפרמטרים הללו, התוקף שולח ללא הרף מנות RST מזויפות, מנסה מספרי רצף שונים, עד שהוא מזהה חבילת תגובה של ACK, שהגעתה מעידה על כך שהמספר נופל בתוך חלון ה-TCP.

לאחר מכן, התוקף מבהיר את נכונות ההגדרה על ידי שליחת מנות עם אותו מספר ותצפית על הגעת תגובות ACK, ולאחר מכן הוא בוחר את המספר המדויק של הרצף הנוכחי. המשימה מסובכת מהעובדה שתגובות נשלחות בתוך מנהרה מוצפנת וניתן לנתח את נוכחותן בזרם התעבורה המיירט רק בשיטות עקיפות. האם לקוח שולח חבילת ACK הממוענת לשרת ה-VPN נקבע על סמך הגודל והשהייה של התגובות המוצפנות, המתואמים עם שליחת מנות מזויפות. לדוגמה, עבור OpenVPN, גודל מנות מוצפן של 79 מאפשר לך לשפוט במדויק שיש ACK בפנים.

עד שתתווסף הגנה מפני תקיפה לקרנל של מערכת ההפעלה כשיטה זמנית לחסימת הבעיה מומלץ באמצעות מסנן מנות בשרשרת "preroute", לחסום מעבר של מנות שבהן כתובת ה-IP הוירטואלית של המנהרה מצוינת ככתובת היעד.

iptables -t raw -I PREROUTING ! -i wg0 -d 10.182.12.8 -m addrtype ! --src-type LOCAL -j DROP

או עבור nftables

nft add table ip raw
nft add chain ip raw prerouting '{ type filter hook prerouting priority 0; }'
nft add rule ip raw prerouting 'iifname != "wg0" ip daddr 10.182.12.8 fib saddr type != local drop'

כדי להגן על עצמך בעת שימוש במנהרות עם כתובות IPv4, פשוט הגדר את rp_filter למצב "Strict" ("sysctl net.ipv4.conf.all.rp_filter = 1"). בצד ה-VPN, ניתן לחסום את שיטת זיהוי מספרי הרצף על ידי הוספת ריפוד נוסף לחבילות המוצפנות, מה שהופך את כל החבילות לאותו גודל.

מקור: OpenNet.ru