TCPオフパス攻撃:どちらの端が脆弱である必要がありますか?
CVE-2016-5696 を悪用することにより、攻撃者は2つのデバイス間にTCP接続の存在を推測し、その接続を中断し、任意のデータを挿入する可能性があります。 2つのデバイス間のネットワークパスに存在する必要なしに、TCPストリームに。
これに関する記事を読むと、特定のシステムだけが脆弱になることは明らかです。通常、Linuxカーネルバージョンが3.6を超えるもの、または関連するカーネルパッチが逆適用されているもの。
クライアントとサーバー間のTCP接続を考えると、接続が潜在的に脆弱であるために、これらのどれが脆弱なカーネルを持つ必要があるかは明確ではありません。どちらかの端が脆弱に実行されるのに十分ですか?コード、または両端に脆弱性がある場合にのみ攻撃が可能ですか?
攻撃は、RFC 5961 サーバー上の特定の実装をOracleとして使用して、特定のクライアントからの接続(ポート)が存在し、現在のシーケンス番号を調べています。これは、問題のある実装がサーバー上に存在するだけで十分であることを意味します。