Elle porte la référence CVE-2019-14899 et pourrait causer de gros dégâts. Ubuntu 19.10, Fedora, Debian 10.2, Manjaro 18.1.1, Arch 2019.05, FreeBSD, OpenBSD… la liste des distributions touchées est longue.
De manière générale, elle concerne tous les systèmes utilisant la configuration par défaut de systemd sorti après le 28 novembre 2018. En cause, le changement d’un paramètre rp_filter de « strict » à « loose »… avec des conséquences en cascades.
« Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d'exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l'adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s'il y a ou non une connexion active à un site Web donné », explique le portail de cybersécurité des systèmes de santé qui reprend la publication sur Seclists de William J. Tolley, Beau Kujath et Jedidiah R. Crandall.
Le portail ajoute : « De plus, l’attaquant pourrait déterminer les numéros des séquences et d'acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d'injecter des données dans le flux TCP et de voler ces sessions. Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d'autres technologies VPN ».
Les chercheurs donnent plusieurs pistes permettant de limiter les dégâts, notamment activer le reverse path filtering et mettre en place le filtrage Bogon.
Commentaires (56)
#1
OpenBSD est touché aussi ?????
Mais il utilise systemd, lui ???
Je trouve ça chelou…
#2
Bon, faut déjà être dans le réseau local…
#3
D’après la publication originale:
Here is a list of the operating systems we have tested which are vulnerable to this attack:
This list isn’t exhaustive, and we are continuing to test other distributions, but made sure to cover a variety of init systems to show this is not limited to systemd.
Par conséquent, la faille n’est pas dans systemd mais est activée par systemd par défaut depuis la mise à jour en question et d’autres systèmes d’init peuvent l’activer (là aussi depuis plus ou moins longtemps).
De plus, les distribs utilisant systemd mais qui modifient la conf par défaut peuvent aussi être protégées.
#4
C’est le cas de tous les réseaux Wi-Fi public où, justement, il est de bon ton de se protéger par l’utilisation d’un VPN.
#5
#6
Si l’admin du Wi-Fi public a bien fait son taf, normalement les utilisateurs sont isolés.
" />
#7
Tu as encore trop foi dans les compétences des prestataires de solution Wi-Fi public toi
" />
#8
J’ai travaillé pour une start-up qui délivre ce genre de solutions et y’a bcp de turn-over.
" />
#9
/ mode troll activé /
M’en fou, chui sous Windaube :)
#10
Ils parlent de vpn en TCP. Cela veut dire que en UDP il n’y a pas ce problème ?
#11
N’étant pas suffisamment pointu sur le sujet, ça veut dire que les machines sous debian 9 utilisant openvpn en udp sont également touchées ?
#12
C’est la loose
" />
#13
#14
La vache, l’erreur de config par défaut qui fait mal …
" />
" />
Moi qui voulais justement regarder pour configurer un VPN avec Open VPN pour avoir accès à mon réseau local à distance …
Ca va sans doute attendre un peu (au moins que j’aie le temps de lire comment réduire le risque.
En attendant le tunneling SSH restera mon copain (même si pour le partage de fichiers Windows ça pose d’autres problèmes).
#15
#16
#17
#18
Openvpn marche en UDP en général. C’est plus rapide que TCP.
#19
#20
#21
Pas besoin d’être sur le LAN, un MitM BGP permet d’intercepter le flux, c’est bien pour ça que les préconisations concernent le filtrage des routes - d’ailleurs dans URPF, c’est “Forwarding”, pas “Filtering”.
#22
#23
#24
#25
#26
#27
Elasticsearch
#28
Merci, je ne connaissais pas. ;)
Du coup, la config par défaut de ce soft à l’air rock’n roll.
#29
C’est avant même ça, c’est genre:
#30
#31
Un peu.
" />
Mais ça permet de “garantir” la connexion, si des paquets sont perdus, ils sont renvoyés.
L’UDP lui s’en font de ça, il t’envoie les données sans rien vérifier et si jamais un paquet et perdu, tant pis, il est utilisé pour le streaming et les jeux en ligne.
#32
#33
Pas de souci, mais ne prend pas ça comptant, c’est des souvenirs de cours.
" />
#34
”…un attaquant présent dans le réseau local…”
Ouf, j’ai failli avoir peur.
#35
#36
C’est un peu le harceleur de rue. haha
#37
Pire : il y a en a maintenant dans les foyers !
" />
" />
Sinon il y a le même problème avec https… au moins la partie quel site visité. D’où le ESNI proposé par cloudflare… c’est la période parano.
#38
C’est le weinstein des réseaux ! Surtout s’ils ont des NAT !
#39
Ça c’est du TCP
#40
#41
Bah oui, je le dis que c’est du TCP.
L’UDP il n’y a pas de session.
#42
#43
#44
#45
Le serveur Openvpn écoute sur un port TCP , comme tous les serveurs. L’autorisation se passe en TCP,ensuite un tunnel UDP est créé et tout se passe a l’intérieur par la suite. On peut créé un tunnel en TCP mais c’est considérablement plus lent.
#46
Ca me rappelle Baldur’s Gate
" />
Hé c’est moi Imoen
Hé c’est moi Imoen
Hé c’est moi Imoen
…
#47
“pour le groupe !”
#48
#49
On m’aurait caché des choses sur la sureté de LINUX ?
" />
Comme quoi Windows 10 n’est pas si mauvais en matière de sécurité …
#50
Il y a beaucoup de routeurs qui tournent sous Windows 10 ?
#51
#52
#53
Je n’ai aucun serveur.
" />
#54
Qu’est-ce que tu fous ici alors?
" />
#55
Je viens de relire avec attention la brève à 2 reprises.
Il est bien mentionné “le serveur VPN”.
Mais je trouve que la brève laisse penser que tout le monde peut être victime.
Bref j’ai sans doute mal (ou pas) compris que c’est réservé aux gens ayant au moins un serveur.
#56
Ma blague est tombée à plat.
Pas grave, tu m’as poussé à aller lire la description complète sur seclists.org, ce que j’avais eu la flemme de faire, la brève étant trop brève pour tout décrire.
Oui, toute machine sous un Linux (ou autre système cité) étant connecté par un VPN (ou autre WireGuard, ou IKEv2/IPSec) peut être vulnérable, pas uniquement un serveur.
Par contre, il est décrit qu’il faut contrôler un AP (point d’accès) pour attaquer alors que la brève dit qu’il faut être dans le même réseau local. Les 2 sont peut-être bien vrais suivant les cas, l’AP étant plus facile puisqu’il voit passer tous les paquets par design mais je pense qu’en étant en écoute de tout ce qui passe dans un réseau Wi-Fi, ça doit être pareil. Par contre, dans un réseau filaire, sur un switch réseau, tu ne peux pas écouter les autres connexions et contrôler le routeur est bien le plus simple (sinon, il faut faire du arp poisoning pour détourner vers le trafic vers ta machine sur le même réseau local).