VPN बोगद्याद्वारे केलेल्या TCP कनेक्शनला हायजॅक करण्याची अनुमती देणारी भेद्यता

प्रकाशित अटॅक तंत्र (CVE-2019-14899) जे VPN बोगद्यांद्वारे फॉरवर्ड केलेल्या TCP कनेक्शनमध्ये पॅकेट्सची फसवणूक, सुधारित किंवा बदलण्याची परवानगी देते. समस्या Linux, FreeBSD, OpenBSD, Android, macOS, iOS आणि इतर युनिक्स सारखी प्रणालींना प्रभावित करते. Linux IPv4 साठी rp_filter (रिव्हर्स पाथ फिल्टरिंग) यंत्रणेला समर्थन देते, त्याला "कठोर" मोडमध्ये चालू केल्याने ही समस्या तटस्थ होते.

ही पद्धत कूटबद्ध बोगद्याच्या आत जाणार्‍या TCP कनेक्शनच्या स्तरावर पॅकेट बदलण्याची परवानगी देते, परंतु अतिरिक्त एन्क्रिप्शन स्तर (उदाहरणार्थ, TLS, HTTPS, SSH) वापरणार्‍या कनेक्शनमध्ये वेज घालण्याची परवानगी देत ​​नाही. VPN मध्ये वापरलेले एन्क्रिप्शन अल्गोरिदम काही फरक पडत नाही, कारण स्पूफ केलेले पॅकेट बाह्य इंटरफेसमधून येतात आणि VPN इंटरफेसमधून पॅकेट म्हणून कर्नलद्वारे प्रक्रिया केली जाते. आक्रमणाचे सर्वात संभाव्य लक्ष्य अनएनक्रिप्टेड HTTP कनेक्शनमध्ये व्यत्यय आणणे आहे, परंतु वगळलेले नाही आणि DNS प्रतिसाद हाताळण्यासाठी हल्ला वापरणे.

OpenVPN, WireGuard आणि IKEv2/IPSec वापरून तयार केलेल्या बोगद्यांसाठी यशस्वी पॅकेट स्पूफिंगचे प्रात्यक्षिक केले गेले आहे. टोर समस्येस संवेदनाक्षम नाही, कारण ते ट्रॅफिक फॉरवर्ड करण्यासाठी SOCKS वापरते आणि लूपबॅक इंटरफेसला बांधील आहे. IPv4 साठी, rp_filter "लूज" मोडवर सेट केल्यास हल्ला शक्य आहे (sysctl net.ipv4.conf.all.rp_filter = 2). सुरुवातीला, बर्‍याच प्रणाल्यांनी “कठोर” मोड वापरला, परंतु पासून सुरू systemd 240, गेल्या डिसेंबरमध्ये रिलीझ झाला, डीफॉल्ट ऑपरेटिंग मोड "लूज" मध्ये बदलला गेला आणि हा बदल अनेक Linux वितरणांच्या डीफॉल्ट सेटिंग्जमध्ये दिसून आला.

rp_filter यंत्रणा लागू स्त्रोत पत्ता स्पूफिंग टाळण्यासाठी पॅकेट पथांच्या अतिरिक्त पडताळणीसाठी. 0 वर सेट केल्यावर, कोणताही स्त्रोत पत्ता तपासला जात नाही आणि कोणतेही पॅकेट नेटवर्क इंटरफेसमध्ये निर्बंधांशिवाय अग्रेषित केले जाऊ शकते. मोड 1 “कठोर” मध्ये राउटिंग टेबलचे पालन करण्यासाठी बाहेरून येणारे प्रत्येक पॅकेट तपासणे समाविष्ट आहे आणि जर नेटवर्क इंटरफेस ज्याद्वारे पॅकेट प्राप्त झाले तो इष्टतम प्रतिसाद वितरण मार्गाशी संबंधित नसल्यास, पॅकेट टाकून दिले जाते. मोड 2 "लूज" लोड बॅलन्सर किंवा असममित राउटिंगला काम करण्यास अनुमती देण्यासाठी चेक शिथिल करते
प्रतिसाद मार्ग ज्याद्वारे येणारे पॅकेट आले त्याशिवाय नेटवर्क इंटरफेसमधून जाऊ शकतो.

लूज मोडमध्ये, येणारे पॅकेट राउटिंग टेबलच्या विरूद्ध तपासले जाते, परंतु कोणत्याही उपलब्ध नेटवर्क इंटरफेसद्वारे स्त्रोत पत्ता पोहोचण्यायोग्य असल्यास ते वैध मानले जाते. प्रस्तावित हल्ला या वस्तुस्थितीवर आधारित आहे की आक्रमणकर्ता व्हीपीएन इंटरफेसशी संबंधित फसवणूक केलेल्या स्त्रोत पत्त्यासह पॅकेट पाठवू शकतो आणि हे पॅकेट बाह्य नेटवर्क इंटरफेसद्वारे सिस्टममध्ये प्रवेश करेल आणि VPN द्वारे नाही, तरीही rp_filter “लूज” मोड असे पॅकेट टाकून दिले जाणार नाही.

हल्ला करण्यासाठी, आक्रमणकर्त्याने गेटवे नियंत्रित करणे आवश्यक आहे ज्याद्वारे वापरकर्ता नेटवर्कमध्ये प्रवेश करतो (उदाहरणार्थ, एमआयटीएम संस्थेद्वारे, जेव्हा बळी आक्रमणकर्त्या-नियंत्रित वायरलेस ऍक्सेस पॉईंटशी कनेक्ट होतो, किंवा त्याद्वारे राउटर हॅकिंग). वापरकर्ता नेटवर्कशी कनेक्ट केलेला गेटवे नियंत्रित करून, आक्रमणकर्ता बोगस पॅकेट पाठवू शकतो जे VPN नेटवर्क इंटरफेसच्या संदर्भात समजले जातील, परंतु प्रतिसाद बोगद्यातून मार्गस्थ केले जातील.

काल्पनिक पॅकेट्सचा प्रवाह तयार करून ज्यामध्ये VPN इंटरफेसचा IP पत्ता बदलला आहे, क्लायंटने स्थापित केलेल्या कनेक्शनवर प्रभाव टाकण्याचा प्रयत्न केला जातो, परंतु या पॅकेट्सचा प्रभाव केवळ संबंधित एनक्रिप्टेड रहदारी प्रवाहाच्या निष्क्रिय विश्लेषणाद्वारे पाहिला जाऊ शकतो. बोगद्याच्या ऑपरेशनसह. हल्ला करण्यासाठी, तुम्हाला VPN सर्व्हरने नियुक्त केलेल्या टनेल नेटवर्क इंटरफेसचा IP पत्ता शोधणे आवश्यक आहे आणि हे देखील निर्धारित करणे आवश्यक आहे की एका विशिष्ट होस्टचे कनेक्शन सध्या बोगद्याद्वारे सक्रिय आहे.

VPN व्हर्च्युअल नेटवर्क इंटरफेसचा IP निर्धारित करण्यासाठी, SYN-ACK पॅकेट पीडित सिस्टमला पाठवले जातात, अनुक्रमे संपूर्ण वर्च्युअल पत्त्यांच्या श्रेणीची गणना करतात (सर्व प्रथम, VPN मध्ये वापरलेले पत्ते डीफॉल्टनुसार मोजले जातात, उदाहरणार्थ, OpenVPN 10.8.0.0/24 सबनेट वापरते). पत्त्याचे अस्तित्व RST ध्वजासह मिळालेल्या प्रतिसादाच्या आधारे ठरवले जाऊ शकते.

अशाच प्रकारे, एखाद्या विशिष्ट साइटवर कनेक्शनची उपस्थिती आणि क्लायंटच्या बाजूने पोर्ट क्रमांक निर्धारित केला जातो - पोर्ट क्रमांकांद्वारे क्रमवारी लावल्याने, वापरकर्त्याला एक SYN पॅकेट, स्त्रोत पत्ता म्हणून पाठवले जाते, ज्यामध्ये साइटचा IP बदलला आहे, आणि गंतव्य पत्ता एक आभासी IP VPN आहे. सर्व्हर पोर्टचा अंदाज लावला जाऊ शकतो (HTTP साठी 80), आणि क्लायंटच्या बाजूच्या पोर्ट नंबरची गणना ब्रूट फोर्सद्वारे केली जाऊ शकते, विविध संख्यांसाठी RST सह पॅकेट नसल्यामुळे ACK प्रतिसादांच्या तीव्रतेतील बदलाचे विश्लेषण करून. झेंडा.

या टप्प्यावर, आक्रमणकर्त्याला कनेक्शनचे चारही घटक माहित असतात (स्रोत IP पत्ते/पोर्ट आणि गंतव्य IP पत्ता/पोर्ट), परंतु पीडित प्रणाली स्वीकारेल असे काल्पनिक पॅकेट तयार करण्यासाठी, आक्रमणकर्त्याने TCP क्रम निश्चित करणे आवश्यक आहे आणि पोचपावती क्रमांक (seq आणि ack) - कनेक्शन. हे पॅरामीटर्स निर्धारित करण्यासाठी, आक्रमणकर्ता सतत बनावट RST पॅकेट पाठवतो, भिन्न अनुक्रम क्रमांक वापरून, जोपर्यंत त्याला ACK प्रतिसाद पॅकेट सापडत नाही, ज्याचे आगमन सूचित करते की संख्या TCP विंडोमध्ये येते.

पुढे, आक्रमणकर्ता समान क्रमांकासह पॅकेट पाठवून आणि ACK प्रतिसादांचे आगमन पाहून व्याख्येची शुद्धता स्पष्ट करतो, त्यानंतर तो वर्तमान क्रमाची अचूक संख्या निवडतो. हे कार्य गुंतागुंतीचे आहे की प्रतिसाद एन्क्रिप्टेड बोगद्याच्या आत पाठवले जातात आणि अडवलेल्या रहदारी प्रवाहात त्यांची उपस्थिती केवळ अप्रत्यक्ष पद्धती वापरून विश्लेषित केली जाऊ शकते. क्लायंटने VPN सर्व्हरला संबोधित केलेले ACK पॅकेट पाठवले की नाही हे कूटबद्ध केलेल्या प्रतिसादांच्या आकार आणि विलंबतेच्या आधारावर निर्धारित केले जाते, जे स्पूफ केलेले पॅकेट पाठवण्याशी संबंधित आहेत. उदाहरणार्थ, OpenVPN साठी, 79 चे एनक्रिप्टेड पॅकेट आकार तुम्हाला अचूकपणे ठरवू देते की आत ACK आहे.

जोपर्यंत समस्या अवरोधित करण्याची तात्पुरती पद्धत म्हणून आक्रमण संरक्षण ऑपरेटिंग सिस्टम कर्नलमध्ये जोडले जात नाही शिफारस केली “प्रीरूट” साखळीमध्ये पॅकेट फिल्टर वापरून, पॅकेटचा रस्ता अवरोधित करा ज्यामध्ये बोगद्याचा आभासी IP पत्ता गंतव्य पत्ता म्हणून निर्दिष्ट केला आहे.

iptables -t raw -I preROUTING ! -i wg0 -d 10.182.12.8 -m addrtype ! --src-प्रकार LOCAL -j ड्रॉप

किंवा nftables साठी

nft टेबल आयपी रॉ जोडा
nft चेन ip raw prerouting '{ type filter hook prerouting priority 0; }'
nft जोडा नियम ip raw prerouting 'iifname != "wg0" ip daddr 10.182.12.8 fib saddr type != local drop'

IPv4 पत्त्यांसह बोगदे वापरताना स्वतःचे संरक्षण करण्यासाठी, फक्त rp_filter "कठोर" मोडवर सेट करा (“sysctl net.ipv4.conf.all.rp_filter = 1”). VPN बाजूला, सर्व पॅकेट समान आकाराचे बनवून, एनक्रिप्टेड पॅकेट्समध्ये अतिरिक्त पॅडिंग जोडून अनुक्रम क्रमांक शोध पद्धत अवरोधित केली जाऊ शकते.

स्त्रोत: opennet.ru