Yeni SnailLoad Saldırısı, Kullanıcıların Web Etkinliklerini Casusluk Etmek İçin Ağ Gecikmesinden Yararlanıyor
Graz Teknoloji Üniversitesi'nden bir grup güvenlik araştırmacısı, bir kullanıcının web etkinliğini uzaktan anlamak için kullanılabilecek SnailLoad olarak bilinen yeni bir yan kanal saldırısı gösterdi.
Araştırmacılar bu hafta yayınlanan bir çalışmada, "SnailLoad, tüm İnternet bağlantılarında mevcut olan bir darboğazdan yararlanıyor" dedi.
"Bu darboğaz, ağ paketlerinin gecikmesini etkileyerek bir saldırganın başka birinin İnternet bağlantısındaki mevcut ağ etkinliğini çıkarmasına izin veriyor. Bir saldırgan bu bilgileri, bir kullanıcının ziyaret ettiği web sitelerini veya bir kullanıcının izlediği videoları çıkarmak için kullanabilir."
Yaklaşımın tanımlayıcı bir özelliği, ortadaki düşman (AitM) saldırısı gerçekleştirme veya ağ trafiğini koklamak için Wi-Fi bağlantısına fiziksel yakınlıkta olma ihtiyacını ortadan kaldırmasıdır.
Özellikle, bir hedefi, tehdit aktörü tarafından kontrol edilen bir sunucudan zararsız bir varlık (örneğin bir dosya, resim veya reklam) yüklemesi için kandırmayı gerektirir ve bu da kurbanın ağ gecikmesini kurbanın sistemindeki çevrimiçi etkinlikleri belirlemek için bir yan kanal olarak kullanır.
Böyle bir parmak izi saldırısı gerçekleştirmek ve bir kullanıcının hangi videoyu veya web sitesini izlediğini veya ziyaret ettiğini öğrenmek için saldırgan, kurbanın ağ bağlantısında bir dizi gecikme ölçümü gerçekleştirir.
Ardından, videolar için %98'e ve web siteleri için %63'e varan bir doğrulukla çıkarım yapmak için aynı ağ kurulumundan gelen izlerle eğitilmiş bir evrişimli sinir ağı (CNN) kullanan bir son işlem aşamasını içerir.
Başka bir deyişle, kurban tarafındaki ağ darboğazı nedeniyle, düşman, paket gidiş dönüş süresini (RTT) ölçerek iletilen veri miktarını çıkarabilir. RTT izleri video başına benzersizdir ve kurban tarafından izlenen videoyu sınıflandırmak için kullanılabilir.
Saldırı, saldıran sunucunun bağlantı gecikmesini uzun bir süre boyunca izlemek için dosyayı salyangoz hızında iletmesi nedeniyle bu şekilde adlandırılmıştır.
Araştırmacılar, "SnailLoad, JavaScript gerektirmez, kurban sisteminde herhangi bir kod yürütme biçimi gerektirmez ve kullanıcı etkileşimi gerektirmez, yalnızca sürekli bir ağ paketi alışverişi gerektirir" diye açıkladı ve "kurban sistemindeki gecikmeyi ölçer ve gecikme değişimlerinden kurban sistemindeki ağ etkinliğini çıkarır" diye ekledi.
"Yan kanalın temel nedeni, bufferbloat adı verilen bir hizmet kalitesi sorunuyla ilgili, tipik olarak kullanıcının modeminden veya yönlendiricisinden önceki son düğüm olan bir aktarım yolu düğümünde arabelleğe almadır."
Açıklama, akademisyenlerin, yönlendirici ürün yazılımının, İletim Kontrol Protokolü'ndeki (TCP) yerleşik rastgeleleştirmeyi atlamak için kurbanla aynı Wi-Fi ağına bağlı bir saldırgan tarafından istismar edilebilecek Ağ Adresi Çevirisi (NAT) eşlemesini işleme biçiminde bir güvenlik açığını ifşa etmesiyle geldi.
Araştırmacılar, "Çoğu yönlendirici, performans nedenleriyle, TCP paketlerinin sıra numaralarını titizlikle incelemiyor" dedi. "Sonuç olarak, bu, saldırganların yönlendiricideki NAT eşlemelerini kötü niyetli olarak temizlemek için sahte sıfırlama (RST) paketleri oluşturarak yararlanabilecekleri ciddi güvenlik açıkları getiriyor."
Saldırı, esasen tehdit aktörünün diğer istemci bağlantılarının kaynak bağlantı noktalarını çıkarmasına ve TCP bağlantı manipülasyonu gerçekleştirmek için kurban istemci ile sunucu arasındaki normal TCP bağlantısının sıra numarasını ve onay numarasını çalmasına olanak tanır.
TCP'yi hedef alan ele geçirme saldırıları, bir kurbanın HTTP web sayfasını zehirlemek veya hizmet reddi (DoS) saldırılarını aşamak için silahlandırılabilir, araştırmacılara göre, güvenlik açığı için yamaların OpenWrt topluluğunun yanı sıra 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti ve Xiaomi gibi yönlendirici satıcıları tarafından hazırlandığını söyledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı