ClickCease KernelCare-Patches für schichtenübergreifende Angriffe wurden veröffentlicht - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

KernelCare-Patches für schichtenübergreifende Angriffe wurden veröffentlicht

25. Dezember 2020. TuxCare PR Team

KernelCare-Patches für schichtenübergreifende Angriffe wurden veröffentlicht

Eine neue Schwachstelle (CVE-2020-16166) im Pseudo-Zufallszahlengenerator (PRNG) wurde von Amit Klein, Vizepräsident für Sicherheitsforschung bei SafeBreach und Sicherheitsforscher an der israelischen Bar-Ilan-Universität, gefunden.

Die Schwachstelle öffnet die Tür für Cross-Layer-Attacken, eine neue Hacking-Technik, die das Risiko des DNS-Cache-Poisoning erhöht und die unbefugte Identifizierung und Verfolgung von Linux- und Android-Geräten ermöglichen kann.

KernelCare-Patches für Debian 10, Debian 8, Oracle Linux UEK 5 und 6, Ubuntu 18.04, 20.04 sind bereits verfügbar. Patches für RHEL 8 & Oracle Linux UEK 4 werden Anfang nächster Woche veröffentlicht.

 

Inhalte:

  1. Über CVE-2020-16166, Cross-Layer-Angriff

  2. Von CVE-2020-16166 betroffene Linux-Distributionen

  3. KernelCare Antwort

 

Über CVE-2020-16166, Cross-Layer-Angriff

Ab Kernel-Version 5.7.11 können entfernte Angreifer Beobachtungen über den Linux-Kernel machen, die es dem Angreifer ermöglichen, sensible Informationen über den internen Zustand von RNG (Random Number Generation) in einem Netzwerk zu extrahieren. Es geht um zwei Teile des Kernel-Codes: drivers/char/random.c und kernel/time/timer.c.

CVE-2020-16166 ermöglicht es Angreifern, einen so genannten "schichtenübergreifenden" Angriff durchzuführen. Dieser Angriff auf den Linux-Kernel nutzt eine spezifische Schwachstelle in der Art und Weise aus, wie PRNG (Pseudozufallszahlengenerierung) in Linux gehandhabt wird.

Der Angriff ist möglich, weil der fehlerhafte PRNG auf einigen Linux-Systemen drei wichtige Netzwerkalgorithmen steuert:

 

  • Erzeugung eines UDP-Quellports
  • Erzeugung von IPv6-Flusskennzeichnungen
  • IPv4-ID-Generierung

 

Die Angreifer beginnen damit, den internen Zustand des PRNG auf einer bestimmten OSI-Schicht des Netzes zu ermitteln. Anschließend nutzen die Angreifer diese Sicherheitsschwäche, um einen Zufallswert in einer anderen OSI-Schicht vorherzusagen. Diese Fähigkeit, Zufallswerte vorherzusagen, gibt dem Angreifer die Möglichkeit, den DNS-Cache in einigen Linux-Systemen zu vergiften.

Dieses DNS-Poisoning-Risiko besteht sowohl für lokale Netzwerke als auch für entfernte Netzwerke. Allerdings muss der DNS-Server, der vergiftet wird, außerhalb des Zielnetzes liegen

Darüber hinaus können Angreifer durch die Möglichkeit, Rückschlüsse auf die Generierung von Zufallszahlen in einem Linux-System zu ziehen, auch die Nutzer von Android- und Linux-Geräten verfolgen.

Beachten Sie, dass nur Linux-Systeme und andere Betriebssysteme, die auf dem Linux-Kernel basieren, wie z. B. Android, für diesen Angriff anfällig sind.

Die Lösung für diesen Angriffsvektor besteht darin, den aktuellen PRNG in Linux durch einen Algorithmus zu ersetzen, der eine stärkere Zufallszahlengenerierung bietet. Neuere Linux-Versionen enthalten einen verbesserten PRNG.

Beachten Sie auch, dass Anwendungen, die DNS-over-HTTPS verwenden, den Angriff blockieren, aber nur, wenn sowohl der DNS-Server als auch der Stub-Resolver DNS-over-HTTPS vollständig unterstützen. DNS-over-HTTPS beseitigt jedoch nicht das Risiko der Geräteverfolgung.

Beachten Sie, dass Debian Linux und CentOS Linux zwar keine DNS-Caches verwenden, beide Linux-Distributionen aber dennoch für CVE-2020-16166 anfällig sind.

 

Von CVE-2020-16166 betroffene Linux-Distributionen

Amit Klein, der Forscher, der die Schwachstelle entdeckt hat, sagt, dass Ubuntu-Server am anfälligsten sind. Die einzigartigen Eigenschaften des Ubuntu-Stub-Resolvers bedeuten, dass die Angreifer die Möglichkeit haben, einen besonders starken DNS-Angriff auf Ubuntu-Server durchzuführen.

Dies stellt Klein zufolge ein großes Risiko dar, wenn man bedenkt, dass 13,4 % der weltweiten Webserver mit Ubuntu betrieben werden. Darüber hinaus laufen weitere 3,4 % der Webserver mit einer Kombination aus Ubuntu und einem öffentlichen DNS-Server. Damit sind die Voraussetzungen erfüllt, um CVE-2020-16166 auszunutzen.

Klein erklärte gegenüber Daily Swig, dass er die oben genannten Zahlen für eine konservative Schätzung hält, da auch Server, die private DNS (z. B. von einem ISP) verwenden, für einen Angriff in Frage kommen - allerdings wird der Angreifer dafür mehr Aufwand und Vorbereitung betreiben müssen. Klein sagt, er könne nicht vorhersagen, wie durchführbar ein Angriff ist, wenn ein privates DNS auf einem anfälligen Linux-Server verwendet wird.

Dennoch warnt Klein, dass DNS-Cache-Poisoning die Tür zu einer ganzen Reihe von Sicherheitsproblemen öffnet. Er listet einige davon auf - darunter die Beeinträchtigung der E-Mail-Sicherheit, das Hijacking von HTTP- und E-Mail-Verkehr sowie die Möglichkeit, den Schutz vor Spam und schwarzen Listen zu umgehen.

CVE-2020-16166 kann es einem Angreifer auch ermöglichen, einen lokalen DoS-Angriff zu starten (Blackhole-Hosts), die Reverse-DNS-Auflösung zu beeinträchtigen und einen Angriff auf den NTP-Client (Network Time Protocol) zu starten, ein wichtiges Tool, das die Uhr eines Linux-Servers verwaltet.

 

KernelCare Antwort

Patches für Debian 10, Debian 8, Oracle Linux UEK 5 und 6, Ubuntu 18.04, 20.04 sind jetzt verfügbar und werden innerhalb der nächsten 4 Stunden auf alle Systeme mit installiertem KernelCare angewendet.

Patches für Oracle Linux UEK4, RHEL8(CentOS 8, CL8, CL7h) werden Anfang nächster Woche veröffentlicht.

Beachten Sie, dass das Patchen von RHEL 7 nicht angesprochen wird vom Hersteller nicht berücksichtigt wird.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter