¿Cuáles son los riesgos debido al ataque de canal lateral de "callange ACK" [CVE-2016-5696]?

0

Acabo de leer más detalles sobre el reciente CVE-2016-5696 vulnerabilidad en los kernels de linux (versión 3.6 y abov) en enlace y allí dice que a través de un ataque usando el " En el canal lateral de ACK ", los datos se pueden inyectar maléricamente en una conexión TCP (por ejemplo, una respuesta / solicitud HTTP).

No entiendo completamente el punto, ya que siempre he asumido que, por supuesto, los datos se pueden inyectar / modificar en una conexión HTTP, porque para empezar no están cifrados.

¿Estoy en lo cierto al suponer que la diferencia aquí es que este error permite que alguien inyecte datos en una conexión TCP, mientras que no es un nodo de retransmisión de esa conexión TCP (algo que tal vez está diciendo fuera de ruta)?

En pocas palabras, ¿es incorrecto decir que esencialmente el CVE-2016-5696, constituye un subproceso (inyección maliciosa) que de todos modos existió, dado que la computadora de retransmisión "en ruta" siempre tuvo el cambio para modificar el contenido ( si no se evita con el cifrado TLS / SSL)?

    
pregunta humanityANDpeace 21.08.2016 - 11:33
fuente

1 respuesta

3
  

la diferencia aquí es que este error le permite a alguien inyectar datos en una conexión TCP, mientras que no es un nodo de retransmisión de esa conexión TCP (algo que tal vez estén expresando fuera de ruta).

Cualquiera que sea capaz de rastrear y modificar / inyectar paquetes pudo modificar las conexiones TCP (y, por lo tanto, HTTP) antes. El ataque de canal lateral de "desafío ACK" reemplaza el requisito de rastreo directo (es decir, en ruta) por una estimación inteligente del número de secuencia y el puerto utilizado por una conexión TCP existente y, por lo tanto, hace posible que un atacante fuera de ruta modifique la conexión.

El atacante aún debe poder inyectar los paquetes adecuados, es decir, la falsificación de la dirección IP de origen debe ser posible. Si esto es posible y para qué direcciones IP depende del entorno del atacante. Probablemente es posible falsificar una dirección IP local en la mayoría de las redes locales de baja seguridad, es decir, puntos de acceso públicos o redes de empresas. Pero en estos casos, la suplantación de ARP ya podría tener éxito, lo que permite los ataques en ruta más poderosos contra el usuario local. La falsificación de direcciones IP no locales es más difícil. Mi opinión es que, de alguna manera, pero no confiable, es probable que esto sea imposible con la mayoría de las cuentas de DSL / Cable porque el ISP filtrará la IP falsificada. Pero podría ser más fácil en redes más abiertas en empresas de hospedaje o universidades. Y, por supuesto, cualquier persona con acceso a enrutadores en Internet "abierto" puede falsificar la propiedad intelectual, como proveedores de servicios de Internet y, probablemente, también agencias gubernamentales.

    
respondido por el Steffen Ullrich 21.08.2016 - 12:09
fuente

Lea otras preguntas en las etiquetas