Breaking News
AMR | Citrix Webinar: The Next New Normal

พบช่องโหว่บน Linux TCP เสี่ยงถูกไฮแจ็คการสื่อสารผ่านอินเทอร์เน็ต

นักวิจัยจาก University of California ที่ Riverside ออกมาเปิดเผยถึงช่องโหว่บน Transmission Control Protocol (TCP) ที่ถูกใช้บน Linux ตั้งแต่ปี 2012 ซึ่งช่วยให้แฮ็คเกอร์สามารถไฮแจ็คการสื่อสารผ่านอินเทอร์เน็ตของผู้ใช้จากระยะไกลได้ ไม่ว่าจะเป็น ติดตามการใช้งานออนไลน์ บังคับจบการเชื่อมต่อ แอบดูข้อมูลการสนทนา หรือลดระดับ Privacy ของ Anomity Network เช่น TOR ได้ ที่แย่กว่านั้นคือ สามารถส่งมัลแวร์เข้าไปยังช่องทางสื่อสารที่ไม่ได้เข้ารหัสระหว่างเครื่อง 2 เครื่องได้ด้วยเช่นกัน

Credit: BoBaa22/ShutterStock
Credit: BoBaa22/ShutterStock

ช่องโหว่ระดับ Design และ Implementation บน RFC

ช่องโหว่บน Linux TCP นี้ มีรหัส CVE-2016-5696 เป็นช่องโหว่ในระดับการ Design และ Implementation บน RFC 5961 ซึ่งถือว่าเป็นมาตรฐานอินเทอร์เน็ตที่ค่อนข้างใหม่ โดยมาตรฐานนี้ถูกออกแบบมาเพื่อให้สามารถใช้โปรโตคอล TCP ได้อย่างมั่นคงปลอดภัยและถูกแฮ็คได้ยากยิ่งขึ้น ที่สำคัญคือ TCP เป็นโปรโตคอลหัวใจสำคัญที่แอพพลิเคชันใช้ติดต่อสื่อสารผ่านอินเทอร์เน็ต ไม่ว่าจะเป็น HTTP, FTP, SSH, Telnet, DNS และ SNMP

ทีมนักวิจัยด้านความมั่นคงปลอดภัย 6 คนจาก University of California และห้องแล็บวิจัยทางทหารของสหรัฐฯ ได้แสดงการ POC ช่องโหว่ดังกล่าวในงานประชุม USENIX Security Symposium โดยสามารถตรวจจับการติดต่อสื่อสาร TCP ระหว่างโฮสต์ 2 เครื่อง และโจมตีทราฟฟิคที่ส่งหากันได้

ช่องโหว่ Side Channels Attack ช่วยให้ได้ Sequence Number ของ TCP Packet ภายในไม่กี่วินาที

โดยปกติแล้ว โปรโตคอล TCP จะทำการตัดข้อมูลออกเป็นชิ้นเล็กๆ เรียกว่า Packet แล้วส่งไปยังผู้รับ เมื่อผู้รับได้รับ Packet ก็จะทำการประกอบกลับให้กลายเป็นข้อมูลต้นฉบับเหมือนเดิมตามหมายเลข Sequence Number ตรงจุดนี้เองที่นักวิจัยค้นพบช่องโหว่ Side Channels Attack ที่ช่วยให้แฮ็คเกอร์สามารถคาดเดา Sequence Number ของ TCP Packet ได้อย่างแม่นยำภายในเวลาไม่ถึง 10 วินาที ที่สำคัญคือ พวกเขาใช้เพียงข้อมูลจากหมายเลข IP ของฝั่งผู้รับและผู้ส่งเท่านั้น

linux_tcp_vulnerability

นั่นหมายความว่า แฮ็คเกอร์สามารถปลอมหมายเลข IP ของตนและใช้หมายเลข Sequence Number ที่ได้มาเพื่อทำการดักจับข้อมูลที่ส่งหากันระหว่างผู้ส่งกับผู้รับได้ รวมไปถึงสามารถลอบส่ง TCP Packet แปลกปลอมไปยังช่องทางการสื่อสารของทั้ง 2 เครื่องโดยไม่จำเป็นต้องโจมตีแบบ Man-in-the-Middle Attack แต่อย่างใด

วิดีโอด้านล่างแสดงตัวอย่างการโจมตีเว็บไซต์ USA Today โดยการลอบส่ง Phishing Form เข้าไปยังเว็บไซต์ดังกล่าว

โจมตีเพื่อกำหนดเส้นทางบนเครือข่าย TOR ได้

นอกจากการลอบส่งมัลแวร์เข้าไปยังช่องทางสื่อสารแล้ว ทีมนักวิจัยยังได้แสดงการเจาะช่องโหว่เพื่อโจมตี SSH และ Anomity Network อย่างเครือข่าย TOR ด้วยเช่นกัน โดยพวกเขาระบุในเอกสารงานวิจัยว่า “โดยทั่วไปแล้ว เราเชื่อว่าการโจมตีแบบ DoS บนการเชื่อมต่อผ่าน TOR จะส่งผลกระทบต่อทั้งความต่อเนื่องในการให้บริการ (Availability) และ Privacy ที่บริการรับประกันให้ … โดยพื้นฐานแล้ว เมื่อการเชื่อมต่อระหว่าง Relay Nodes 2 nodes ล่ม (Middle Relay และ Exit Relay) ไม่สามารถให้บริการได้ Middle Relay จะทำการเลือก Exit Relay ใหม่เพื่อกระโดดไปยัง Node ถัดไป ถ้าแฮ็คเกอร์สามารถบงการได้ว่า การเชื่อมต่อไหนจะล่ม (ผ่านทาง Reset Attack) นั่นหมายความว่า แฮ็คเกอร์ก็จะสามารถบังคับให้ข้อมูลส่งไปยัง Exit Relays ที่ตนต้องการได้ทันที”

รับมือกับช่องโหว่ได้อย่างไร

ในขณะที่แพทช์สำหรับอุดช่องโหว่กำลังถูกพัฒนาอยู่ในขณะนี้ ผู้ใช้ Linux สามารถป้องกันช่องโหว่นี้ชั่วคราวได้ด้วยการเพิ่มอัตราสูงสุดของ ACK ให้มีค่าสูงๆ เพื่อให้ตัวเลขไม่สามารถรันไปถึงได้ โดยไปที่ /etc/sysctl.conf

net.ipv4.tcp_challenge_ack_limit = 999999999

จากนั้นให้ใช้ sysctl -p เพื่อเริ่มใช้งานการตั้งค่าดังกล่าว (จำเป็นต้องล็อกอินเป็น Root)

เชื่อว่าส่งผลกระทบต่อระบบปฏิบัติการ Linux เท่านั้น

ช่องโหว่นี้ส่งผลกระทบเป็นวงกว้างแก่ผู้ใช้ทั่วโลก เนื่องจาก Linux นับได้ว่าเป็นระบบปฏิบัติการสำคัญที่เป็นพื้นฐานของอุปกรณ์ต่างๆ ไม่ว่าจะเป็น Web Servers, สมาร์ทโฟนและแท็บเล็ต Android และสมาร์ททีวี โดยเวอร์ชันที่ได้รับผลกระทบคือ Linux 3.6 เป็นต้นไป ในขณะที่ Windows และ Mac OS X ไม่น่าจะได้รับผลกระทบจากช่องโหว่ดังกล่าว เนื่องจากระบบปฏิบัติการเหล่านั้นยังไม่ได้ใช้งาน RFC 5961

อ่านรายงานการวิจัยฉบับเต็มหัวข้อ Off-Path TCP Exploits: Global Rate Limit Considered Dangerous [PDF]

ที่มา: http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุป Webinar ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX

ก่อนหน้านี้ทางทีมงาน VMware ได้มาเล่าเรื่องในหัวข้อ"ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX" ในงาน TechTalk Webinar ซึ่งก็ถือเป็นอีกหนึ่งหัวข้อที่ได้รับความสนใจจากผู้อ่านค่อนข้างมาก ทางทีมงาน TechTalkThai จึงขอนำเนื้อหามาสรุปเอาไว้ให้ผู้ที่อาจจะไม่มีเวลาชมคลิปเองได้อ่านกันสั้นๆ ดังนี้ครับ

สรุป Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift

หนึ่งในเรื่องที่คน IT หลายคนต้องเร่งเรียนรู้ในปีนี้ก็คือเรื่องของเทคโนโลยี Enterprise Container และในบทความนี้ทีมงาน TechTalkThai ก็จะขอสรุปเนื้อหาสั้นๆ จากงาน Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift เพื่อให้ทุกท่านได้รู้จักกับ Red Hat OpenShift กันมากขึ้นดังนี้ครับ