Уязвимость в ядре Linux подвергает опасности web-серверы и устройства на Android

Web-серверы на Linux и миллионы Android-устройств находятся в зоне риска в связи с уязвимостью в ядре Linux, которая затрагивает генератор псевдослучайных чисел и позволяет осуществлять межуровневые атаки благодаря тому, что алгоритмы генерации UDP, IPv6 и IPv4, работающие на некоторых Linux-системах, используют уязвимый ГПСЧ.

Как пояснил автор исследования ИБ-эксперт Амит Кляйн (Amit Klein), злоумышленник может определить внутреннее состояние ГПСЧ на одном OSI-уровне и использовать эти данные для прогнозирования случайного числового значения на другом OSI-уровне. Таким образом атакующий получает возможность выполнить атаку типа DNS cache poisoning (подмена DNS) на Linux-системах как локально, так и удаленно. Условие заключается в том, что DNS-сервер должен находиться за пределами сети.

Подмена DNS может использоваться для различных вредоносных действий, например, перехвата электронной почты и HTTP-трафика, обхода анти-спам механизмов и черных списков электронной почты, проведения локальной DoS-атаки, отслеживания клиента NTP и пр.

Более того, обнаруженная Кляйном проблема также позволяет отслеживать Linux- и Android-устройства даже в тех случаях, когда в браузере включен приватный режим или используется VPN.

По словам специалиста, наиболее уязвимыми к данным атакам являются серверы на Ubuntu - порядка 13,4% web-серверов работают на Ubuntu, 3-5% серверов используют Ubuntu и публичную DNS-службу, удовлетворяя условиям для потенциальной атаки. Однако этот показатель может быть выше, полагает Кляйн, поскольку в зоне риска также находятся серверы, использующие внешние частные DNS-серверы (например, управляемые интернет-правайдерами).

Эксперт уведомил команду разработчиков Linux об уязвимости (CVE-2020-16166) в марте нынешнего года. Проблема была устранена с выпуском патча, реализовывающего более надежный ГПСЧ, использующий SipHash (исправленные версии 5.10-rc1, 5.9.2, 5.4.78, 4.19.158, 4.14.207, 4.9.244 и 4.4.244). В Android проблема была исправлена в октябре, альтернативный метод защиты от данной атаки - использование прокси или Tor. Протокол DNS-over-HTTPS также блокирует подмену DNS, но не защищает от отслеживания.