5 dicembre 2019 – CVE-2019-14889
Le VPN sono lo standard di comunicazione “sicura” usato ampiamente da qualsiasi azienda, per proteggere le connessioni dei propri client che lavorano dall’esterno dell’azienda o per connettere l’azienda a server remoti.
I ricercatori dell’università del new mexico hanno scoperto una vulnerabilità registrata come CVE-2019-14889, che riguarda tutti i sistemi Linux e più in generale *nix based, compresi MacOS, iOS ed Android.
La vulnerabilità può essere sfruttata da un attaccante che condivide con la vittima la stessa sottorete e permette di:
- capire se un utente è connesso ad una VPN;
- ottenere il virtual IP address assegnato dal server VPN;
- determinare se l’utente sta visitando un determinato sito;
- determinare l’esatta sequenza e la numerazione degli ACK;
- iniettare dati nello stream TCP.
Tutto questo permetterebbe di dirottare delle connessioni attive che si trovano all’interno della VPN.
La vulnerabilità è stata testata con successo con OpenVPN, WireGuard ed IKEv2/IPSec, sembra invece che TOR sia immune da questo baco, in quanto opera a livello SOCKS e la criptazione avviene nello userspace.
Al momento l’attacco può essere implementato in due modi.
Il primo e più semplice, può essere attuato da colui che controlla il router che gestisce la connessione. Ad esempio ci connettiamo ad una WiFi di un Pubblica e rischiamo di essere vittime.
Il secondo un po’ più complesso, può permettere a chi è connesso alla rete della vittima, di mettersi di mezzo (con varie tecniche) tra il router ed il client. In questo modo si diventa il nuovo (primo) router per la vittima e si può proseguire attuando la prima modalità d’attacco.
Come risolvere?
Ad oggi NON ESISTE PATCH per risolvere il problema descritto, ci possono essere però dei WORKAROUND per limitare i danni.
LIVIO MORINA