Linux爆核心漏洞，让黑客能拦截未加密流量

    资安研究人员发现用以改善TCP安全传输的RFC5961存在漏洞，让骇客可释出假封包争夺共享资源，藉探测计数器变化推测两个主机是否正以TCP通讯及封包的排序，从而拦截未加密的流量，危及网路安全及隐私。受影响的包括v3.6至v4.7的所有Linux核心版本。


来自加州大学河滨分校（University of California, Riverside）与美国陆军研究实验室（US Army Research Laboratory）的6名研究人员在本周举行的Usenix安全研讨会上揭露了一个攸关RFC 5961的安全漏洞，RFC 5961是一项用来改善TCP传输安全的标准，却带来了新漏洞，允许骇客拦截未加密的流量，波及自v3.6至v4.7的所有Linux核心版本。

TCP为所有网路通讯的基础协定，主要用来建立两个主机之间的连线，继之互传资讯，不论是HTTP、FTP或DNS等协定都奠基于TCP。而RFC 5961则是一项用来改善TCP传输安全的标准，可避免于TCP协定下受到盲窗攻击（Blind In-Window Attack）。

研究人员指出，漏洞形成的原因来自于ACK封包的回应及特定TCP控制封包的全球限速，这是RFC 5961的功能，已实现在2012年Linux核心3.6以后的版本。该漏洞允许骇客释出虚假封包争夺共享资源，并探测计数器的变化。

他们把相关攻击称为偏离路径攻击（off path attack），可快速测试两个主机是否正以TCP进行通讯，并推断TCP排序号码以强制终止主机间的连结或注入恶意的有效载荷。骇客完全不需要在主机或客户端执行恶意程式，可能大规模影响网路上的安全及隐私。

此一编号为CVE-2016-5696的漏洞可拦截未加密的传输流量，也可破坏诸如HTTPS或Tor的加密通讯。例如当两名使用者正透过电子邮件通讯时，TCP会把这些讯息拆成大量的封包并进行编号，另一端再加以组合，骇客则可透过该漏洞推断封包的排序。

研究人员打造了概念性验证程式以展开测试，发现只需要10秒钟就能判断主机是否正在通讯，也只要数十秒就能推断主机间用以连结的序列号码。平均40到60秒就能完成攻击，成功率介于88%到97%之间。

除了Linux之外，其他采用RFC 5961的作业系统也可能受到影响，严重性则视作业系统对RFC 5961的整合程度而定。