Se ha descubierto una vulnerabilidad crítica en dispositivos Linux multitarjeta. Esto permite a un atacante falsificar e inyectar paquetes en el flujo de comunicación interna a través de la interfaz pública o externa.
Los investigadores de seguridad descubrieron esta falla durante varias evaluaciones y la explotaron con éxito muchas veces.
Este problema se debe a la interacción entre dispositivos Linux multitarjeta y configuraciones de firewall comunes que utilizan el firewall con estado de Linux (módulo conntrack).
El módulo conntrack que rastrea las conexiones de firewall con estado no tiene en cuenta la interfaz en la que se estableció la conexión.
Como resultado, las reglas generales de firewall que permiten establecer conexiones relevantes se aplican a todas las conexiones, no sólo a aquellas destinadas a hosts externos.
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
Esto permite a un atacante en la interfaz exterior hacerse pasar por el flujo de tráfico interno e inyectar paquetes si comparte la misma dirección IP y puerto que una conexión interna establecida.
Amplia gama de dispositivos que pueden verse afectados
Esta vulnerabilidad se aplica a dispositivos Linux multitarjeta que están conectados a múltiples redes. Esto incluye objetivos obvios como enrutadores NAT, pero también hosts Linux que ejecutan máquinas virtuales, servidores VPN, dispositivos integrados, sistemas automotrices y drones.
Los sistemas Linux con múltiples interfaces que carecen de reglas de firewall anti-spoofing pueden ser vulnerables.
Los investigadores han aprovechado con éxito esta vulnerabilidad para:
Inyectar datos en el flujo Lidar en un vehículo autónomo Falsificar paquetes NAT-PMP/PCP para crear un mapeo dinámico de puertos en el enrutador NAT Falsificar respuestas mDNS Entre dos hosts internos detrás de un enrutador NAT inyectar paquetes en la comunicación de
Un vídeo publicado por los investigadores muestra cómo corrompen los datos LIDAR al inyectar paquetes en la secuencia.
Existen algunas limitaciones para explotar esta vulnerabilidad.
Un atacante debe poder enrutar el tráfico interno, generalmente desde un rango de IP privado, a una interfaz externa. La inyección ciega o fuerza bruta de parámetros como puertos y números de secuencia generalmente requiere más dificultad que UDP.
Sin embargo, a pesar de estas limitaciones, los investigadores han aprovechado con éxito esta falla para falsificar flujos de datos críticos en varios escenarios.
Para mitigar esta vulnerabilidad, los investigadores recomiendan lo siguiente:
Implemente reglas de firewall anti-spoofing para descartar paquetes con direcciones IP internas falsificadas en la interfaz externa. Utilice la opción de socket SO_BINDTODEVICE para restringir el servicio a recibir paquetes solo en la interfaz interna deseada.
También lanzamos la herramienta contenedora LD_PRELOAD que permite que el software externo vincule sockets a interfaces específicas, incluso si el código fuente no está disponible.
Se recomienda a los administradores de Linux que revisen las configuraciones de su firewall e implementen las mitigaciones recomendadas para proteger los dispositivos multitarjeta de esta vulnerabilidad de inyección y suplantación de paquetes.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
