24. 11. 2014

Velké rozšíření mobilních zařízení vedlo k významnému nárůstu síťových útoků na bezdrátové sítě. DoubleDirect je označení Man-in-the-Middle (M-i-t-M) síťového útoku typu Internet Control Message Protocol přesměrování (ICMP Redirect), který slouží jako alternativa k útoku technikou otravy ARP (ARP poisoning). ICMP přesměrování legálně využívají směrovače k informování zařízení v síti, že je k dispozici lepší trasa pro spojení s určitým konkrétním místem. DoubleDirect byl prozatím zneužit k přesměrování mobilních zařízení, která se snažila připojit k majoritním webovým stránkám jako například Google, Facebook nebo Twitter na zařízení kontrolované útočníkem.

Charakteristika zranitelnosti

Nová metoda spočívá v použití paketů ICMP pro přesměrování, kterými útočník změní směrovací tabulku zařízení patřící oběti tak, aby byl provoz pro konkrétní IP adresu přesměrován přes libovolné síťové cesty. Pokud je do této cesty zahrnut útočníkův stroj, dochází k útoku M-i-t-M. Zatímco dosavadní útoky ICMP Redirect jsou označovány jako polo-duplexní, protože napadený uzel může data pouze přijímat nebo odesílat, útoky DoubleDirect jsou již plně duplexní. To je zajištěno tím, že útočníci jsou schopni například pomocí DNS sniffingu predikovat, na kterou IP adresu oběť bude přistupovat.

Postižené systémy

Zařízení pracující se systémy iOS do verze 8.1.1, Android (včetně Lollipop) a OS X (včetně Yosemite).

Operační systémy Linux a Windows nejsou zranitelností dotčeny, protože nepodporují ICMP pakety pro přesměrování.

Dopad zranitelnosti

Útočník v pozici Man-in-the-Middle může získat přístup k přihlašovacím a citlivým údajům, nebo šířit malware na cílové mobilní zařízení, případně získat přístup k podnikovým sítím.

Řešení

Zakázat ve všech operačních systémech funkci ICMP Redirect.

CVE

N/A

Odkazy

http://blog.zimperium.com/doubledirect-zimperium-discovers-full-duplex-icmp-redirect-attacks-in-the-wild/
http://news.softpedia.com/news/Traffic-from-Google-Facebook-Twitter-Redirected-to-Cybercriminals-Via-New-DoubleDirect-Attack-465607.shtml
http://www.theregister.co.uk/2014/11/21/hackers_snaffling_smartphone_secrets_with_redirection_attack/?mt=1416836489914
http://securityaffairs.co/wordpress/30417/cyber-crime/doubledirect-mitm-attacks.html