We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

¡IMPORTANTE! Vulnerabilidad de implementación TCP en Linux


tonysanchez
27/08/2016, 07:42
Hola Me temo que no. El ataque no necesita una posicion intermedia, y es posible en cualquir parte de la comunicacion, mas alla de los mecanismode seguridad de comunicacion a nivel local, porque se trata de un ensamblamiento de paquetes. " an attacker with spoofed IP address does not need a man-in-the-middle (MITM) position, apparently intercepting and injecting malicious TCP packets between any two arbitrary machines on the Internet."

Puedes realizar un ataque incluso interceptando paquetes de la red tor.

El desafio ACK noes una cosa baladi, y seria mejor leer el informe completo, que pese a que es un tocho, no hace falta ser un guru para entenderlo, ademas de que deja claro el alcance del exploit, que no es una broma, pues cualquier gilipollas de los tantos que hay, metidos a aprendices de black hat, puede liarla en cualquier comunicacion

Actualizar y reniciar, no cuesta nada, y mas cuando el problema es grave.

Lo demas, es decir barabaridades sin conocimiento.

Aqui te dejo un pack para expertos

alvaroag
13/08/2016, 03:22
Interesante dato, yo recién me entero. Aunque, analizándolo un poco, y para no causar alarma en este foro, hay que decir que al menos en OVH, en la mayoría de los casos la vulnerabilidad no se podrá manifestar. ¿Por qué? Por que OVH, al igual que otros proveedores de VPS y servidores dedicados, restringe el tráfico en los puertos de cada switch, permitiendo únicamente en cada puerto las IPs y MACs que le correspondan; es decir, sólamente la MAC del servidor dedicado, y cualquier vMAC creada para ese servidor, y sólo cuando vayan acompañadas de una IP asociada a esa MAC. Si otro servidor, aunque se encuentre conectado al mismo switch, intentase hacer un IP spoofing, el switch simplemente desecharía el paquete, pues la IP no correcponde con la MAC, y/o la MAC no corresponde con el puerto.

Este ataque va mas orientado a cualquier caso en el que haya visibilidad en red local. Puede ser a través de un conjunto de computadoras conectadas a un switch simple(o uno administrable sin mayor configuración), o a través de VPNs de capa física, como el TAP de OpenVPN).

Eso si, igual nunca es mala idea mantener el kernel actualizado.

davidlig
13/08/2016, 01:55
VULNERABILIDAD DE IMPLEMENTACIÓN TCP EN LINUX PERMITE SECUESTRAR EL TRÁFICO ENTRE DISPOSITIVOS


A día de hoy, pocos usuarios son los que se preguntan cómo funcionan realmente las comunicaciones que realizan constantemente mientras están conectados a Internet. Navegar por páginas web, enviar emails, mensajes o descargar ficheros es algo tan habitual y aparentemente sencillo debido a que existen unos protocolos implementados desde hace tiempo que permiten esta comunicación entre dispositivos.

Sin embargo, la fiabilidad de estas conexiones podría estar en peligro si usamos un sistema Linux o alguno de sus derivados (p.ej. Android) debido a un fallo en la implementación del protocolo TCP a partir del kernel 3.6 publicado en 2012. Este fallo permitiría a un atacante terminar una comunicación entre dos dispositivos vulnerables o incluso inyectar malware si esta se produce por un canal sin cifrar.

REVISANDO TCP

TCP son las siglas de Transmission Control Protocol (Protocolo de Control de Transmisión) ya hacen referencia al protocolo que permite empaquetar datos y enviarlos y recibirlos a través de Internet a los dispositivos conectados. La particularidad de TCP sobre otros protocolos es que proporciona una mayor fiabilidad, asegurando la integridad de los paquetes. Otros protocolos como UDP son más rápidos pero no garantizan que todos los paquetes lleguen a su destino.

Actualmente, muchas aplicaciones hacen uso de este protocolo, aplicaciones como los navegadores web o clientes FTP, son olvidar otro tipo de servicios ampliamente usados para las transferencias como pueda ser Bittorrent.

FUNCIONAMIENTO DEL ATAQUE

Según los investigadores que han presentado la información sobre esta vulnerabilidad, este fallo permite a un atacante interferir entre las comunicaciones de dos máquinas, sin necesidad de que este se encuentre en la misma red. De hecho, el ataque puede realizarse tan solo conociendo las direcciones IP de los dos sistemas que intervienen en la comunicación.

Estos requisitos tan básicos para explotar la vulnerabilidad son realmente el principal problema, puesto que es relativamente fácil averiguar la IP de los usuarios que se deseen atacar. Así pues, cualquiera desde cualquier lugar del mundo podría lanzarlo desde una red que permitiera la suplantación de direcciones IP.

Esta implementación vulnerable de TCP (CVE-2016-5696) tampoco requiere que el usuario tenga que instalar ninguna aplicación o pulsar sobre un enlace. Los investigadores comentaron que el problema de base está relacionado con la introducción de respuestas en los desafíos ACK y la imposición de un límite en los paquetes de control de TCP.

Según sus pruebas, tan solo se necesitan 10 segundos para conseguir interferir en la comunicación y, a partir de ahí, se puede intentar inyectar código malicioso en aquellas comunicaciones que no estén cifradas. Como ejemplo, presentaron la siguiente demo donde se observa como una comunicación no cifrada con un periódico online termina siendo sustituida por una web controlada por un atacante sin que el usuario haya intervenido para nada:

https://www.youtube.com/watch?v=S4Ns5wla9DY

SOLUCIONES

Si somos usuarios de LInux, es probable que estemos acostumbrados a recibir rápidamente parches de seguridad que solucionen vulnerabilidades como la que acabamos de describir. De hecho, las versiones del kernel de Linux a partir de la 4.7 no están afectados por esta vulnerabilidad y muchas distribuciones de Linux ya están actualizándose para solucionar el problema.

Además, podemos solucionar esta vulnerabilidad de forma manual y temporal si establecemos un límite de en los paquetes de control TCP en los desafíos ACK superior a 1000. Si bien esto solo es aplicable a sistemas operativos usados en ordenadores de escritorio, portátiles y servidores.

Queda por ver cómo afectará esta vulnerabilidad al resto de dispositivos que se ven afectados y que no suelen recibir estas actualizaciones o, al menos, no de forma tan habitual. Recordemos que Linux es utilizado en muchos dispositivos que ni siquiera están diseñados para actualizarse pero que, en caso de estar conectados podrían añadir un importante agujero de seguridad a su larga lista de problemas.

Fuente: http://blogs.protegerse.com/laborato...-dispositivos/