Cabecera-v2-web.jpg

Vulnerabilidad CVE-2019-14899 en conexiones de túneles VPN



Linux-VNP-hack.jpg


La tecnología VPN (Virtual Private Network) o red privada virtual permite crear un túnel virtual seguro en Internet hacia otra red o dispositivo. Esta tecnología permite asegurar la integridad y confidencialidad de la información implementado el cifrado de toda la información que se envía y se recibe.

¿Qué pasó?

Se ha descubierto una vulnerabilidad identificada con el CVE-2019-14899, que permite a los atacantes reemplazar, cambiar o sustituir paquetes en conexiones TCP reenviadas a través de túneles VPN.

El problema afecta a Linux, FreeBSD, OpenBSD, Android, macOS, iOS y otros sistemas similares a Unix.

De ser explotada la vulnerabilidad, permitiría a los atacantes, descubrir si otro usuario está conectado a una VPN, la dirección IP virtual que le asigna el servidor y si existen conexiones activas a sitios web en específico. Este ataque permitiría la inyección de datos en el flujo TCP y todo esto puede dar lugar al secuestro de las conexiones VPN.

Para llevar este ataque a la práctica, se debe tomar el control de la puerta de enlace que es utilizado por el usuario cuando ingresa a la red.

Una vez obtenido el control de la puerta de enlace, el atacante procede a enviar paquetes falsos en el que se sustituye la dirección IP de la interfaz VPN y con esto se logra inferir en la conexión con el cliente. Para obtener la dirección IP virtual, el atacante envía paquetes SYN-ACK al dispositivo de la víctima, cuando se envía un SYN-ACK a la IP virtual correcta en el dispositivo víctima, el dispositivo responde con un RST, cuando el SYN-ACK se envía a la IP virtual incorrecta, el atacante no recibe nada.

La mayoría de las distribuciones vulnerables a esta falla usan la versión de systemd corregida después del 28 de noviembre de 2018, que inhabilitó el filtrado de ruta inversa; no obstante, el ataque también funciona contra IPv6.

Los investigadores probaron y explotaron con éxito la vulnerabilidad contra los siguientes sistemas operativos y los sistemas init, se estima que vaya creciendo debido a que los investigadores aún siguen haciendo pruebas en más versiones:

  • Ubuntu 19.10 (systemd)
  • Fedora (systemd)
  • Debian 10.2 (systemd)
  • Arch 2019.05 (systemd)
  • Manjaro 18.1.1 (systemd)
  • Devuan (sysV init)
  • MX Linux 19 (Mepis + antiX)
  • Linux vacío ( runit)
  • Slackware 14.2 (rc.d)
  • Deepin (rc.d)
  • FreeBSD (rc.d)
  • OpenBSD (rc.d)

Recomendaciones:

  • Es recomendable activar el filtrado de ruta inversa mediante el bogon filtering.
  • Revisar y actualizar a la última versión estable disponible en los sitios de los fabricantes.
  • Por otro lado, se debe estar atento a las actualizaciones de seguridad que nos ofrecen los fabricantes de sistemas operativos e instalarlas siempre tan pronto como sea posible.

Los investigadores planean lanzar un informe detallado sobre esta vulnerabilidad, sus alcances y las potenciales consecuencias de su explotación, no obstante, será revelado cuando las distribuciones de Linux comprometidas lancen una solución apropiada.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11