Para que las conexiones a Internet puedan establecerse es necesario hacer uso de diferentes protocolos de conexión que permiten la comunicación y el intercambio de datos entre dos puntos. Uno de los protocolos más utilizados es el TCP, protocolo fundamental en Internet y que debe estar implementado en los diferentes sistemas operativos para poder comunicarse con otras máquinas a través de la red. Sin embargo, un fallo en la implementación de este protocolo puede exponer los datos y la seguridad de los usuarios, tal como ha ocurrido recientemente con la implementación del mismo en los sistemas Linux.
Recientemente, se ha dado a conocer una nueva vulnerabilidad en la implementación del protocolo TCP de los sistemas operativos Linux, concretamente en la versión más reciente lanzada en 2012 con la versión 3.6 del Kernel Linux (y que afecta incluso a la reciente versión 4.7), que puede permitir a un atacante identificar los hosts con los que nos comunicamos y, en último lugar, atacar dicho tráfico. Según los investigadores, este fallo se debe a la introducción de las respuestas ACK y a la imposición de un límite sobre el control de paquetes TCP.
Para poder llevar a cabo este ataque y explotar esta vulnerabilidad no es necesario que el atacante esté en la misma red ni en el mismo flujo de datos, sino que, debido a su naturaleza, puede ser explotado perfectamente mediante un ataque MITM, por lo que en ningún momento se necesita intervención de la víctima.
Esta vulnerabilidad en la implementación del protocolo TCP en Linux expone seriamente la seguridad de millones de sistemas
Aunque por el momento no se han facilitado demasiados datos técnicos sobre la vulnerabilidad, esta ha sido ya registrada con el código CVE-2016-5696. Según los investigadores, la tasa de éxito para explotar esta vulnerabilidad es de entre el 88% y el 97%. Además, explotar esta vulnerabilidad y tomar el control del tráfico lleva menos de un minuto.
Cuando un atacante accede a este tráfico, aunque esté supuestamente cifrado, es capaz de tomar el control sobre él e incluso inyectar paquetes modificados en los que se puede incluir, por ejemplo, exploits o malware. Esta vulnerabilidad afecta incluso a las conexiones de la red Tor. De todas formas, un atacante no podrá determinar si existe o no conexión entre dos puntos sin estar llevando a cabo un ataque man-in-the-middle, residiendo aquí el mayor desafío para esta vulnerabilidad.
El número de dispositivos afectados por esta vulnerabilidad es incalculable, ya que prácticamente cualquier sistema basado en Linux, ya sean ordenadores, televisores, smartphones, tablets o dispositivos IoT, está afectado. Se espera que, a lo largo del día de hoy, los investigadores del USENIX Security Symposium expliquen en más profundidad la vulnerabilidad y proporcionen instrucciones sobre cómo poder solucionarla o, al menos, mitigar sus efectos.
Fuente: redeszone