Для прерывания соединения и внедрения вредоносного ПО не нужно осуществлять MiTM-атаку.
Эксперты Калифорнийского университета в Риверсайде обнаружили уязвимость в ядре Linux, позволяющую удаленно внедрять вредоносное ПО в web-страницы и загрузки, прерывать соединение с Tor, осуществлять DoS-атаки и пр.
Серьезная ошибка, связанная с TCP/IP, затрагивает версии ядра, начиная с 3.6. С ее помощью злоумышленник может определить, общаются ли между собой по сети две какие-либо системы, прервать соединение между ними или внедрить в передаваемый трафик вредоносный код, если он не зашифрован должным образом. Для этого не нужны ни атака «человек посередине», ни прослушивание сети. Злоумышленник может отправлять специальным образом сформированные пакеты обеим сторонам соединения, находясь в стороне. Достаточно лишь знать IP-адреса клиента и сервера и иметь возможность отправлять им пакеты.
Уязвимость связана с реализацией RFC 5961 – сравнительно нового стандарта, предназначенного для защиты от кибератак определенного класса. Однако в данном случае именно он является причиной проблемы. Как пояснил руководитель исследования Чжиюнь Цянь (Zhiyun Qian), уникальная особенность атаки заключается в том, что для ее осуществления практически ничего не нужно.
«По существу, провести атаку может каждый, если атакуемая машина находится в сети, позволяющей осуществить IP-спуфинг. Все, что требуется – лишь пара адресов (клиента и сервера), получить которые не составит труда», - отметил Цянь.
Исследователи наглядно продемонстрировали атаку в ходе 25-й конференции USENIX Security Symposium в среду, 10 августа. Эксперты атаковали главный сайт издания USA Today, внедрив JavaScript-код, способный похищать вводимые в авторизационную форму пароли пользователей.
Исследователи продемонстрировали атаку на сервер Tor (в ходе презентации использовался специально созданный сервер, поэтому атака не затронула легитимный трафик), а также исследовали 40 серверов Tor по всему миру. 16 из них отразили атаку, вероятно, с помощью межсетевых экранов, однако 88,8% остальных соединений были прерваны. На одну атаку у экспертов ушло в среднем 51,1 с.Но доступ к знаниям открыт для всех