forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость, позволяющая вклиниться в стороннее TCP-соединение"
Отправлено opennews, 11-Авг-16 10:24

На конференции Usenix Security Symposium группа исследователей из Калифорнийского университета в Риверсайде и исследовательской лаборатории армии США обнародовали (https://ucrtoday.ucr.edu/39030) сведения о возможности совершения пассивных атак на TCP (http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf), позволяющих удалённо инициировать разрыв сетевого соединения или осуществить подстановку своих пакетов в TCP-поток к клиенту или серверу.

В отличие от MITM-атак, новый метод не требует контроля за коммуникациями - для атаки достаточно знать IP-адрес сервера, IP-адрес клиента и сетевой порт сервера. В рамках доклада был продемонстрирован рабочий пример атаки, в результате которой в запрошенную одним из пользователей web-страницу с известного новостного сайта была осуществлена подстановка стороннего блока данных.
Суть проблемы в недоработке механизмов ограничения интенсивности обработки ACK-пакетов, описанных в спецификации RFC 5961 (https://tools.ietf.org/html/rfc5961), что позволяет вычислить информацию о номере последовательности, идентифицирующей поток в TCP-соединении, и со стороны отправить подставные пакеты, которые будут обработаны как часть атакуемого TCP-соединения.

Представленный метод не специфичен для конкретных TCP-стеков и проявляется при наличии расширений ограничения интенсивности обработки пакетов (RFC 5961 (https://tools.ietf.org/html/rfc5961)), реализованных для борьбы с подбором номера последовательности TCP. Атакующий может создать "шумовую завесу" для обхода защиты от наводнения ACK-пакетами и применить типовые методы подбора номера последовательности.
Проблема уже подтверждена (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5696) в Linux (CVE-2016-5696 (https://security-tracker.debian.org/tracker/CVE-2016-5696)) и проявляется c 2012 года в выпусках ядра Linux c 3.6 по 4.7. В качестве обходного метода защиты рекомендуется (https://github.com/torvalds/linux/commit/75ff39ccc1bd5d3c455...) увеличить лимит на число одновременно обрабатываемых ACK-пакетов, установив переменную /proc/sys/net/ipv4/tcp_challenge_ack_limit в значение 1000 вместо ранее принятого по умолчанию 100.
URL: http://arstechnica.com/security/2016/08/linux-bug-leaves-usa.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=44945

Исходное сообщение
"Уязвимость, позволяющая вклиниться в стороннее TCP-соединение" Отправлено opennews, 11-Авг-16 10:24
На конференции Usenix Security Symposium группа исследователей из Калифорнийского университета в Риверсайде и исследовательской лаборатории армии США обнародовали (https://ucrtoday.ucr.edu/39030) сведения о возможности совершения пассивных атак на TCP (http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf), позволяющих удалённо инициировать разрыв сетевого соединения или осуществить подстановку своих пакетов в TCP-поток к клиенту или серверу. В отличие от MITM-атак, новый метод не требует контроля за коммуникациями - для атаки достаточно знать IP-адрес сервера, IP-адрес клиента и сетевой порт сервера. В рамках доклада был продемонстрирован рабочий пример атаки, в результате которой в запрошенную одним из пользователей web-страницу с известного новостного сайта была осуществлена подстановка стороннего блока данных. Суть проблемы в недоработке механизмов ограничения интенсивности обработки ACK-пакетов, описанных в спецификации RFC 5961 (https://tools.ietf.org/html/rfc5961), что позволяет вычислить информацию о номере последовательности, идентифицирующей поток в TCP-соединении, и со стороны отправить подставные пакеты, которые будут обработаны как часть атакуемого TCP-соединения. Представленный метод не специфичен для конкретных TCP-стеков и проявляется при наличии расширений ограничения интенсивности обработки пакетов (RFC 5961 (https://tools.ietf.org/html/rfc5961)), реализованных для борьбы с подбором номера последовательности TCP. Атакующий может создать "шумовую завесу" для обхода защиты от наводнения ACK-пакетами и применить типовые методы подбора номера последовательности. Проблема уже подтверждена (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5696) в Linux (CVE-2016-5696 (https://security-tracker.debian.org/tracker/CVE-2016-5696)) и проявляется c 2012 года в выпусках ядра Linux c 3.6 по 4.7. В качестве обходного метода защиты рекомендуется (https://github.com/torvalds/linux/commit/75ff39ccc1bd5d3c455...) увеличить лимит на число одновременно обрабатываемых ACK-пакетов, установив переменную /proc/sys/net/ipv4/tcp_challenge_ack_limit в значение 1000 вместо ранее принятого по умолчанию 100. URL: http://arstechnica.com/security/2016/08/linux-bug-leaves-usa.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=44945

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> На конференции Usenix Security Symposium группа исследователей из Калифорнийского университета 
> в Риверсайде и исследовательской лаборатории армии США обнародовали (https://ucrtoday.ucr.edu/39030) 
> сведения о возможности совершения пассивных атак на TCP (http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf), 
> позволяющих удалённо инициировать разрыв сетевого соединения или осуществить подстановку 
> своих пакетов в TCP-поток к клиенту или серверу.

> В отличие от MITM-атак, новый метод не требует контроля за коммуникациями - 
> для атаки достаточно знать IP-адрес сервера, IP-адрес клиента и сетевой порт 
> сервера. В рамках доклада был продемонстрирован рабочий пример атаки, в результате 
> которой в запрошенную одним из пользователей web-страницу с известного новостного сайта 
> была осуществлена подстановка стороннего блока данных.

> Суть проблемы в недоработке механизмов ограничения интенсивности обработки ACK-пакетов, 
> описанных в спецификации RFC 5961 (https://tools.ietf.org/html/rfc5961), что позволяет 
> вычислить информацию о номере последовательности, идентифицирующей поток в TCP-соединении, 
> и со стороны отправить подставные пакеты, которые будут обработаны как часть 
> атакуемого TCP-соединения.

> Представленный метод не специфичен для конкретных TCP-стеков и проявляется при наличии 
> расширений ограничения интенсивности обработки пакетов (RFC 5961 (https://tools.ietf.org/html/rfc5961)), 
> реализованных для борьбы с подбором номера последовательности TCP. Атакующий может создать 
> "шумовую завесу" для обхода защиты от наводнения ACK-пакетами и применить типовые 
> методы подбора номера последовательности.

> Проблема уже подтверждена (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5696) 
> в Linux (CVE-2016-5696 (https://security-tracker.debian.org/tracker/CVE-2016-5696)) 
> и проявляется c 2012 года в выпусках ядра Linux c 3.6 
> по 4.7. В качестве обходного метода защиты рекомендуется (https://github.com/torvalds/linux/commit/75ff39ccc1bd5d3c455b6822ab09e533c551f758) 
> увеличить лимит на число одновременно обрабатываемых ACK-пакетов, установив переменную 
>  /proc/sys/net/ipv4/tcp_challenge_ack_limit в значение 1000 вместо ранее принятого по 
> умолчанию 100.

> URL: http://arstechnica.com/security/2016/08/linux-bug-leaves-usa-today-other-top-sites-vulnerable-to-serious-hijacking-attacks/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=44945

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру