tg-me.com/NewWorldObservationLog/2410
Last Update:
Wallbleed(墙出血):中国防火长城中的内存数据泄露漏洞
我们发现了一个名为Wallbleed(墙出血)的缓冲区过度读取漏洞,该漏洞存在于中国防火长城(GFW)的DNS注入子系统中。Wallbleed导致某些影响全国范围的审查设备在处理特制的DNS请求时会泄露至多125字节的内存数据。这一漏洞为我们提供了一个难得的机会,以深入了解防火长城最著名的网络攻击手段之一——DNS注入——的内部架构,以及审查者的操作行为。
为了理解Wallbleed的形成原因和影响,我们从2021年10月开始进行了为期两年的持续性、全网范围的测量。我们(1)逆向工程了DNS注入器的解析逻辑,(2)评估了哪些信息被泄露以及中国国内和海外的互联网用户受到何种影响,并且(3)实时监测审查者的修补行为。我们识别出可能来自审查系统内部的流量,分析了审查系统的内存管理和负载均衡机制,并观察到注入节点的进程级变化。为了协助分析,我们还利用了一个新的旁路信道来区分注入器的不同进程。我们的监测显示审查者在2023年11月对Wallbleed进行了一次不正确的修补,并在2024年3月完成了彻底修复。
在对响应样本进行初步手动分析后,我们使用正则表达式搜索常见或敏感字符串。为了降低分析可识别个人信息的风险,我们的程序仅输出匹配的数量。如表II所示,我们发现了UPnP、SSDP、HTTP、SMTP、SSH和TLS的实例,以及可能的敏感信息,如HTTP cookies和密码。
尽管可能仍然存在一些错误的地理定位,但很明显,一些中国以外的流量可能已暴露于Wallbleed所代表的隐私风险中。2010年,Sparks等人观察到109个地区存在DNS污染,主要是由于GFW在通往TLD服务器的传输路径上进行的DNS注入。2021年,墨西哥的主机无法访问whatsapp.net ,因为GFW向中国的根DNS服务器查询注入了伪造的响应。
在最后一小时的捕获中,42,084个IP地址引发了Wallbleed v2响应。有趣的是,其中33,779个(80.3%)地址属于AS4538(CERNET,中国教育和科研网中心),以及属于中国移动和中国各大学的49个自治系统的长尾。这一观察支持了CERNET维护国家GFW基础设施子集的假设。CERNET中的DNS注入器与GFW的其他部分具有共同的Wallbleed v2漏洞,表明统一的管理和协调的补丁。同时,其独特的补丁时间表显示了其在操作和维护中的一定独立性。
Wallbleed的命名类似于其他类似的内存泄露漏洞。Heartbleed是OpenSSL中的一个漏洞,允许客户端一次泄露多达64 KB的TLS服务器内存。Cloudbleed是2017年在Cloudflare内容分发网络的边缘服务器上使用的HTML解析器中的一个漏洞。类似地,Ticketbleed记录了F5中间盒中的一个漏洞。
Wallbleed漏洞例证了审查设备对互联网用户造成的危害不仅在于其对言论自由的明显侵犯。如果实现不当,审查设备还会对互联网用户的隐私和保密性构成严重威胁。
https://gfw.report/publications/ndss25/zh/
BY 新·世界观察日志
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Share with your friend now:
tg-me.com/NewWorldObservationLog/2410