Unix和Linux系统中的VPN安全漏洞分析

更新时间

简介

近期,来自新墨西哥大学和Breakpointing Bad的三位研究人员发现了Unix和Linux操作系统(如macOS)在处理TCP/IP连接时存在的安全漏洞。这一漏洞可能会对VPN用户造成影响,攻击者能够劫持加密流量。

漏洞概述

研究团队由William Tolley、Beau Kujath和Jedidiah Crandall组成,他们将这一漏洞归类为CVE-2019-14899。他们指出,这一安全弱点存在于大多数Linux发行版以及iOS、Android、FreeBSD、macOS和OpenBSD等其他操作系统中。

受影响的系统

研究团队已将他们的发现与多个受影响的发行版和Linux内核安全团队分享,包括苹果、谷歌、Systemd、OpenVPN和WireGuard。以下是受影响的系统列表:

  • MX Linux 19 (Mepis+antiX)
  • FreeBSD (rc.d)
  • Slackware 14.2 (rc.d)
  • Ubuntu 19.10 (systemd)
  • Fedora (systemd)
  • Debian 10.2 (systemd)
  • Devuan (sysV init)
  • OpenBSD (rc.d)
  • Arch 2019.05 (systemd)
  • Manjaro 18.1.1 (systemd)
  • Deepin (rc.d)
  • Void Linux (runit)

漏洞的工作原理

该漏洞存在于系统的路由表代码和TCP代码中。通过这一缺陷,攻击者可以通过错误信息与加密DNS查询的结合,分析流量并获取有关打开TCP连接的独占信息。具体而言,攻击者可以评估用户是否连接到VPN,获取VPN服务器提供的IP地址,并识别用户是否访问特定网站。

漏洞的影响

大多数测试的Linux发行版都存在此漏洞,尤其是那些在去年11月28日后使用systemd版本的发行版,这些版本关闭了反向路径过滤。然而,研究团队最近发现该攻击也适用于IPv6,因此开启反向路径过滤并不是合理的解决方案。

此外,研究团队还通过检查加密数据包的大小和数量,识别SEQ和ACK号,并成功将数据注入TCP流,从而劫持连接。这意味着即使是加密数据包也无法有效防止攻击,因为攻击者可以评估这些数据包。

安全建议

虽然这一漏洞的大规模利用可能性较低,因为攻击者需要靠近网络或控制目标计算机的接入点,但研究人员还是建议VPN用户保持警惕。

mitigating the Threat

为降低威胁,VPN用户应采取以下措施:

  • 开启反向路径过滤和严格模式
  • 使用填充来加密数据包大小
  • 启用bogon过滤以隐藏其IP地址

更新

OpenVPN在回应HackRead的文章时表示:“我们安全专家的初步调查以及全球其他专家的调查显示,此问题影响所有网络接口,而不仅仅是VPN。”

总结

虽然这一漏洞已经被发现并且相关厂商已进行修复,但VPN用户仍需保持警惕,以确保其在线安全。希望本篇文章能帮助您更好地理解这一漏洞及其影响。

喜欢这篇文章吗?请在Facebook上点赞并在Twitter上关注我们!

更新时间