Vulnerabilità -CVE-2019-14899 consente agli hacker di dirottare connessioni attive all’interno dei tunnel VPN
L’Università del New Mexico ha scoperto un nome di vulnerabilità CVE-2019-14899 che consente agli hacker di ascoltare, intercettare e interferire con il funzionamento delle connessioni VPN. Questa rete accumula vulnerabilità può essere trovata su Ubuntu, Fedora, Debian, FreeBSD, OpenBSD, macOS, iOS Android e altri sistemi operativi basati su Unix. Il problema principale risiede nel modo in cui questi sistemi operativi rispondono a pacchetti di rete imprevisti.
La vulnerabilità consente agli aggressori di sondare un dispositivo e identificare vari dettagli sullo stato della connessione VPN dell’utente: “Abbiamo scoperto una vulnerabilità in Linux, FreeBSD, OpenBSD, MacOS, iOS e Android che consente un punto di accesso dannoso o un adiacente l’utente, per determinare se un utente connesso sta usando una VPN, fare deduzioni positive sui siti Web che sta visitando e determinare la sequenza e i numeri di riconoscimento corretti in uso, consentendo al cattivo attore di immettere dati nel flusso TCP. Ciò fornisce tutto ciò che è necessario affinché un utente malintenzionato possa dirottare connessioni attive all’interno del tunnel VPN ”, – scrivono i ricercatori William J. Tolley, Beau Kujath, Jedidiah R. Crandall di Breakpointing Bad e Università del New Mexico.
Un utente malintenzionato può eseguire l’attacco per conto di un punto di accesso o router dannoso o può presentare la stessa rete al fine di:
- Determinare un altro utente connesso alla VPN
- Trova l’indirizzo IP assegnato al server
- Determinare le vittime connesse a un sito specifico
- Determinare la sequenza esatta di pacchetti in alcune connessioni VPN
- Iniettare nel flusso di dati TCP
- Compromettere la connessione
Secondo gli esperti, ci sono tre modi per eseguire questo attacco: determinare l’indirizzo IP virtuale del client VPN, utilizzare l’indirizzo IP per fare inferenze sulle connessioni attive e utilizzare le risposte di pacchetti non richiesti che sono crittografate per determinare la sequenza e conoscere un numero di connessione attiva al dirottamento.
Di seguito è riportato l’elenco dei sistemi operativi la cui vulnerabilità è stata sfruttata correttamente:
- Fedora (systemd),
- Debian 10.2 (systemd),
- Arch 2019.05 (systemd),
- Manjaro 18.1.1 (systemd),
- Devuan (sysV init),
- MX Linux 19 (Mepis + antiX),
- Void Linux (runit),
- Slackware 14.2 (rc.d),
- Deepin (rc.d),
- FreeBSD (rc.d),
- OpenBSD (rc.d),
Il rapporto dei ricercatori afferma inoltre che questo problema può estendersi ad Android, iOS e macOS: Ubuntu 19.10 (systemd)