Linux爆核心漏洞，讓駭客能攔截未加密流量

william77

資安研究人員發現用以改善TCP安全傳輸的RFC5961存在漏洞，讓駭客可釋出假封包爭奪共享資源，藉探測計數器變化推測兩個主機是否正以TCP通訊及封包的排序，從而攔截未加密的流量，危及網路安全及隱私。受影響的包括v3.6至v4.7的所有Linux核心版本。

來自加州大學河濱分校（University of California, Riverside）與美國陸軍研究實驗室（US Army Research Laboratory）的6名研究人員在本周舉行的Usenix安全研討會上揭露了一個攸關RFC 5961的安全漏洞，RFC 5961是一項用來改善TCP傳輸安全的標準，卻帶來了新漏洞，允許駭客攔截未加密的流量，波及自v3.6至v4.7的所有Linux核心版本。
TCP為所有網路通訊的基礎協定，主要用來建立兩個主機之間的連線，繼之互傳資訊，不論是HTTP、FTP或DNS等協定都奠基於TCP。而RFC 5961則是一項用來改善TCP傳輸安全的標準，可避免於TCP協定下受到盲窗攻擊（Blind In-Window Attack）。
研究人員指出，漏洞形成的原因來自於ACK封包的回應及特定TCP控制封包的全球限速，這是RFC 5961的功能，已實現在2012年Linux核心3.6以後的版本。該漏洞允許駭客釋出虛假封包爭奪共享資源，並探測計數器的變化。
他們把相關攻擊稱為偏離路徑攻擊（off path attack），可快速測試兩個主機是否正以TCP進行通訊，並推斷TCP排序號碼以強制終止主機間的連結或注入惡意的有效載荷。駭客完全不需要在主機或客戶端執行惡意程式，可能大規模影響網路上的安全及隱私。
此一編號為CVE-2016-5696的漏洞可攔截未加密的傳輸流量，也可破壞諸如HTTPS或Tor的加密通訊。例如當兩名使用者正透過電子郵件通訊時，TCP會把這些訊息拆成大量的封包並進行編號，另一端再加以組合，駭客則可透過該漏洞推斷封包的排序。
研究人員打造了概念性驗證程式以展開測試，發現只需要10秒鐘就能判斷主機是否正在通訊，也只要數十秒就能推斷主機間用以連結的序列號碼。平均40到60秒就能完成攻擊，成功率介於88%到97%之間。
除了Linux之外，其他採用RFC 5961的作業系統也可能受到影響，嚴重性則視作業系統對RFC 5961的整合程度而定。