连续6年不跑路的安全速度最适合国人VPN
簡介
近期,來自新墨西哥大學和Breakpointing Bad的三位研究人員發現了Unix和Linux作業系統(如macOS)在處理TCP/IP連線時存在的安全漏洞。這項漏洞可能會對VPN用戶造成影響,攻擊者能夠劫持加密流量。
漏洞概述
研究團隊由William Tolley、Beau Kujath和Jedidiah Crandall組成,他們將此漏洞歸類為CVE-2019-14899。他們指出,這項安全弱點存在於大多數Linux發行版以及iOS、Android、FreeBSD、macOS和OpenBSD等其他作業系統中。
受影響的系統
研究團隊已將他們的發現與多個受影響的發行版和Linux核心安全團隊分享,包括蘋果、Google、Systemd、OpenVPN和WireGuard。以下是受影響的系統清單:
- MX Linux 19 (Mepis+antiX)
- FreeBSD (rc.d)
- Slackware 14.2 (rc.d)
- Ubuntu 19.10 (systemd)
- Fedora (systemd)
- Debian 10.2 (systemd)
- Devuan (sysV init)
- OpenBSD (rc.d)
- Arch 2019.05 (systemd)
- Manjaro 18.1.1 (systemd)
- Deepin (rc.d)
- Void Linux (runit)
漏洞的工作原理
該漏洞存在於系統的路由表代碼和TCP代碼中。透過此缺陷,攻擊者可以透過錯誤訊息與加密DNS查詢的結合,分析流量並取得有關開啟TCP連線的獨佔資訊。具體而言,攻擊者可以評估使用者是否連接到VPN,取得VPN伺服器提供的IP位址,並識別使用者是否造訪特定網站。
漏洞的影響
大多數測試的Linux發行版都存在此漏洞,尤其是那些在去年11月28日後使用systemd版本的發行版,這些版本關閉了反向路徑過濾。然而,研究團隊最近發現該攻擊也適用於IPv6,因此開啟反向路徑過濾並不是合理的解決方案。
此外,研究團隊還透過檢查加密資料包的大小和數量,識別SEQ和ACK號,並成功將資料注入TCP流,從而劫持連線。這意味著即使是加密資料包也無法有效防止攻擊,因為攻擊者可以評估這些資料包。
安全建議
雖然這項漏洞的大規模利用可能性較低,因為攻擊者需要靠近網路或控制目標電腦的存取點,但研究人員還是建議VPN使用者保持警覺。
mitigating the Threat
為降低威脅,VPN用戶應採取以下措施:
- 開啟反向路徑過濾和嚴格模式
- 使用填充來加密資料包大小
- 啟用bogon過濾以隱藏其IP位址
更新
OpenVPN在回應HackRead的文章時表示:“我們安全專家的初步調查以及全球其他專家的調查顯示,此問題影響所有網路接口,而不僅僅是VPN。”
總結
雖然這項漏洞已經被發現並且相關廠商已進行修復,但VPN用戶仍需保持警惕,以確保其線上安全。希望本篇文章能幫助您更好地理解這個漏洞及其影響。
喜歡這篇文章嗎?請在Facebook上按讚並在Twitter上關注我們!
