新漏洞使攻击者能够在大多数UNIX系统上劫持VPN连接

安详研究员William J. Tolley陈诉了一个新裂痕，该裂痕好像应承进攻者行使OpenVPN，WireGuard或IKEv2 / IPSec VPN办理方案挟制大大都基于UNIX的操纵体系上的VPN毗连。

影响大大都GNU / Linux刊行版以及FreeBSD，OpenBSD，Android，iOS和macOS体系，新的安详裂痕也许使当地进攻者可以或许确定其他用户是否已毗连到VPN(假造专用收集)处事器，以及是否到某个网站的勾当毗连。

裂痕(CVE-2019-14899)可通过相邻收集会见加以操作，这要求进攻者有权会见易受进攻的操纵体系的广播或斗嘴域，并应承进攻者通过将数据注入TCP(传输)来挟制毗连。节制协议)流。

据报道，该裂痕可与各类风行的VPN办理方案(包罗OpenVPN，IKEv2 / IPSec以及WireGuard)共同行使，而且行使哪种VPN技能都无关紧急，从而使进攻者可以或许确定通过其发送的数据包的范例。加密的VPN地道。

“我们测试的大大都Linux刊行版都是易受进攻的，尤其是行使客岁11月28日之后除掉的systemd版本的Linux刊行版，它封锁了反向路径过滤。可是，我们最近发明，该进攻也针对IPv6，因此将其反向路径过滤不是一个公道的办理方案，” Tolley说。

来自德国的IT安详参谋Noel Kuntze陈诉说，不管您是否有VPN，并且不是特定于体系的，这种范例的进攻都有用。他还声称，它们仅影响基于路由的VPN，不影响基于计策的VPN。并且，这些进攻不合用于启用TOR的毗连，而且对大大都用户的影响有限。

“进攻者只有在不受掩护的环境下，才气通过进攻毗连来注入数据包(譬喻，在贸易VPN提供商配置中，即毗连从VPN处事器中“出来”并达到WAN上的目标地时。)凡是很好。”诺埃尔·昆策(Noel Kuntze)说。

尚未找到令人满足的办理要领

研究职员声称已经针对几种风行的GNU / Linux和BSD刊行版测试了该裂痕，包罗ArchLinux 2019.05(systemd)，Debian10.2(systemd)，Deepin(rc.d)，Devuan(sysV init)，Fedora(systemd)， FreeBSD(rc.d)，Manjaro18.1.1(systemd)，MX Linux 19(Mepis和antiX)，OpenBSD(rc.d)，Ubuntu19.10(systemd)，Slackware14.2(rc.d)和Void Linux(runit) )，但其他很多身分也也许会受到影响。

也许的缓解法子包罗通过建设内容为“ net.ipv4.conf.all.rp_filter = 1”的文件/etc/sysctl.d/51-rpfilter.conf来打开反向路径过滤，Bogon过滤以及加密的数据包巨细和时刻，可是它们每个都在差异的情形中存在隐藏的题目，因此提议您比及该裂痕在您选择的操纵体系中获得修补为止。因此，我们提议用户始终保持体系最新，并安装全部可用的软件更新。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!