Nueva vulnerabilidad permitiría secuestrar las conexiones VPN en Linux

diciembre 06, 2019 , 0 Comments

Vulnerabilidad en VPN en Linux

Se ha descubierto una nueva vulnerabilidad en Linux que es tan reciente que aún no han incluido su descripción. Se trata de la CVE-2019-14899, una vulnerabilidad que permitiría a usuarios malintencionados secuestrar conexiones VPN. Aunque en la mayoría de medios hablan de un fallo de seguridad que afecta a Linux, lo cierto es que también afecta a otros sistemas operativos basados en Unix, como los FreeBSD y OpenBSD. En la lista no se menciona el macOS de Apple, pero sí han avisado a la compañía de Cupertino para que tome medidas.

La lista parcial de sistemas afectados, la que tenéis tras el corte, incluye solo un pequeño grupo de sistemas operativos. Pero, teniendo en cuenta lo que aparece en dicha lista, podemos afirmar que la vulnerabilidad afecta a la mayoría de usuarios de Linux. Lo bueno es que las compañías afectadas, como el equipo de seguridad del kernel de Linux, Google, Apple, Systemd, WireGuard y OpenVPN, ya han sido informadas sobre el fallo y en el momento de escribir estas líneas ya deberían estar trabajando en un parche para corregirlo.

El fallo de VPN afecta a estos sistemas operativos, entre otros

  • Ubuntu 19.10 (systemd)
  • Fedora (systemd)
  • Debian 10.2 (systemd)
  • Arch 2019.05 (systemd)
  • Manjaro 18.1.1 (systemd)
  • Devuan (sysV init)
  • MX Linux 19 (Mepis+antiX)
  • Void Linux (runit)
  • Slackware 14.2 (rc.d)
  • Deepin (rc.d)
  • FreeBSD (rc.d)
  • OpenBSD (rc.d)

Este fallo de seguridad permite que un atacante adyacente de la red sepa si otro usuario está conectado al mismo servidor VPN. El atacante también puede determinar si el usuario está conectado o no a un sitio web determinado. Además, pueden determinar la secuencia exacta y los números reconocidos. Después de lo cual examinan el envío del paquete, lo que conduce a la inyección de datos y finalmente al secuestro de la conexión.

Para protegernos del potencial ataque, lo que tenemos que hacer es activar el filtrado de ruta inversa mediante el bogon filtering. Por otra parte, también merece la pena estar atento a las actualizaciones de seguridad que nos ofrece nuestro sistema operativo e instalarlas tan pronto en cuanto estén listas.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.