Een lek in de Linux-implementatie van de rfc 5961-standaard laat een aanvaller verbindingen tussen twee partijen onderbreken en maakt het mogelijk om bijvoorbeeld malware te injecteren. Volgens de ontdekkers zijn grote internetsites kwetsbaar.
De kwetsbaarheid, die is ontdekt door onderzoekers van de universiteit van Californië, stelt tcp-verbindingen bloot aan een zogenaamde 'off path'-aanval, dat schrijft Ars Technica. Daarbij is het voor een aanvaller niet nodig om zich tussen twee communicerende partijen te bevinden, zoals bij een man-in-the-middle-aanval. Er is alleen vereist dat de aanvaller kan vaststellen dat er communicatie plaatsvindt.
Het lek met kenmerk cve-2016-5696 doet zich voor in de Linux-implementatie van de redelijk nieuwe rfc 5961-standaard, dat aanwezig is vanaf versie 3.6 van de kernel. Het probleem is opgelost in versie 4.7 van de kernel. Deze moet echter nog in de verschillende distributies opgenomen worden. Rfc 5961 heeft juist tot doel om verbindingen veiliger te maken en is op dit moment alleen geïmplementeerd in Linux, niet in Windows of OS X.
Om een aanval op basis van de kwetsbaarheid uit te voeren, is vereist dat de aanvaller kennis heeft van de ip-adressen en poorten waarlangs de communicatie tussen twee partijen plaatsvindt. Vervolgens kan hij de server bestoken met spoofed pakketten. Hierdoor stuurt de server challenge ack's totdat het maximum is bereikt, waarna de aanvaller zich tot het doelwit kan richten en spoofed pakketten kan versturen om de verbinding te verbreken of gegevens te injecteren op een onversleutelde verbinding. The Register meldt dat er een tussentijdse oplossing is door de regel net.ipv4.tcp_challenge_ack_limit = 999999999 aan /etc/sysctl.conf toe te voegen en sysctl -p uit te voeren als root.
Door van een dergelijke aanval gebruik te maken, toonden de onderzoekers aan dat zij kwaadaardige javascript in de website van USA Today konden injecteren. Ook is het mogelijk om ssh en tor-verbindingen te onderbreken. Injectie kan alleen plaatsvinden in onversleutelde verbindingen. "Het unieke aspect van de aanval is dat deze zonder veel vereisten uitgevoerd kan worden", zo legt onderzoeker Zhiyun Qian aan The Register uit. Een dos-aanval op het Tor-netwerk kan volgens de wetenschapper grote gevolgen hebben voor de beschikbaarheid van de dienst. Dit komt terug in hun onderzoek.