互联网工程任务组研发了规格RFC 5961,旨在抵抗TCP的盲窗攻击,但它同时也引入了新的漏洞,且将会对安卓版智能手机以及所有Linux计算机产生威胁。
在德克萨斯州奥斯汀市举行的第25届USENIX 安全研讨会上,一个研究团队报告了该漏洞。该研究团队由来自加州大学河滨分校的学生以及美国陆军研究实验室的研究员组成。
该漏洞名为CVE-2016-5696,可允许攻击者远程劫持在TCP网络上任意两主机之间的会话。
规格RFC 5961应用于Linux内核 v 3.6以及之后的版本。
Tripwire漏洞研究团队的计算机安全研究人员Craig Young说:“黑客可利用该漏洞来攻击如数据库会话或管理等长期的后端连接,并对信道进行监控。”
他说:“由于黑客只需攻击连接网络中的一台主机,因此很可能通过持续性HTTP信道进行交互对话的网站也会成黑客的攻击目标。”
黑客的攻击目标还包括用来替代嵌入式设备中防火墙的更新版服务器,以及利用基础设施提供即时通讯的监控摄像机和智能设备。
攻击漏洞
研究人员开发RFC 5961的目的是为了防止黑客对长期连接进行TCP欺骗性攻击。 该规格可以确保输入包的序列号与预期的下一个序列号完全一致。 此外,黑客要想发动攻击,还必须猜测出在特定范围内正确的ACK值。
到目前为止,业界普遍认为如果黑客不亲自进入通信通道,就无法轻易得知互联网上任意两台主机是通过TCP进行交流,还是在篡改或终止连接。
然而,研究人员发现黑客不需要在通信系统中运行恶意代码也可以进行TCP攻击。
只要应用了RFC 5961,该系统的ACK限制功能的就会将默认限制设为每秒产生100 challenge ACKS。 该限制会在所有信道上应用,因此黑客就会利用此种共享状态作为边信道发动攻击。
黑客只需将假数据包发送到目标连接,打破每秒100个ACK的限制,并计算在该连接上接收到的challenge ACK的实际数量。 如果该数字小于100,那就说明一些challenge ACKS 已经通过连接被发送出去,以响应假数据包。
Red Hat的安全战略师Josh Bressers表示,两种类似场景最有可能引发黑客的攻击。
他指出其中一种是明文连接攻击,第二种便是DoS攻击。
Linux基金会的高级总监Bill Weinberg表示:“这种漏洞的危险在于,许多移动设备和嵌入式系统由于设计和连接问题无法得到更新。”
他指出:“其中更严重的问题就是安卓设备的安装基础。”
补丁和防护
Weinberg表示,企业级用户可以向Red Hat等供应商寻求补丁。而自主研发内核的企业和开发人员“可以在kernel.org网站或其他类似Fedora等大型供应商处获取补丁。”
Bressers 表示:“Red Hat即将为我们的产品问题发布补丁,并且也将与其他社群合作来解决他们各自代码库中的问题。”
与此同时,该公司的用户可以使用kpatch动态内核补丁代码来修复现有系统。
研究人员建议,最好的防御措施就是消除全球challenge ACK计数,虽然这可能导致ACK的数量飞速增加。
451 Research的高级安全分析师Adrian Sanabria警告说,如果用户不愿意安装补丁,就必须先考虑此举可能会引发的后果。
他表示:“我见过许多企业试图自己解决大量的技术漏洞,却导致了更为严重的后果,而企业若及时获取补丁,其所面临的风险就会小很多。我并非觉得此次TCP漏洞是由于企业没有及时安装补丁导致的,但是我们确实需要增强对补丁相关知识的了解。”
更多资讯内容:>>>租用海外主机必须做好哪些防护措施