Studija objavljena uoči NDSS 2025. otkrila je kritičnu ranjivost u kineskom podsistemu za ubrizgavanje DNS- a Great Firewall (GFW) , pod nazivom Wallbleed, koji je dozvoljavao curenje osjetljivih memorijskih podataka više od dvije godine prije nego što je zakrpljen u martu 2024.
Šta je bio Wallbleed?
Wallbleed, nazvan u odnosu na slične ranjivosti kao što su Heartbleed i Cloudbleed, proizašao je iz greške pri čitanju bafera u GFW-ovim DNS injektorima. Ovi uređaji nadgledaju DNS upite za blokirane domene (npr. disidentske web stranice) i ubrizgavaju krivotvorene odgovore kako bi spriječili pristup.
Istraživači su otkrili da su pogrešno oblikovani DNS upiti kreirani s predimenzioniranim poljima dužine oznake pokrenuli injektore da uključe fragmente vlastite memorije u odgovore.
Između oktobra 2021. i marta 2024. ova curenja su otkrila:
- Mrežni promet : HTTP, SMTP komande i TCP/UDP paketi, uključujući osjetljive podatke poput kolačića i lozinki1.
- Interni GFW procesi : Memorijski dump su sadržavali okvire steka, izvršne isječke koda i logiku balansiranja opterećenja, nagoveštavajući sisteme zasnovane na Linuxu sa omogućenim ASLR1.
- Prekogranični rizici : Tranzitni saobraćaj kroz Kinu, čak i između ne-kineskih IP-ova, potencijalno je bio izložen zbog rutiranja kroz GFW čvorove1.
Istraživači sa američkih univerziteta sproveli su longitudinalno skeniranje, šaljući milijarde sondi na kineske IP adrese. Oni su reverzno konstruisali GFW-ovu logiku raščlanjivanja, identifikujući pogrešne provjere granica u dekodiranju DNS imena.
Posebno, ranjivost je uticala i na IPv4 i IPv6 saobraćaj i otkrila determinističke procesne zadatke unutar injektora. Istraživači su identifikovali više internih procesa analizirajući lažne IP sekvence lažnih DNS odgovora, od kojih svaki obrađuje specifične tokove saobraćaja.
Studija se bavila etičkim izazovima, jer je korištenje Wallbleeda rizikovalo otkrivanje korisničkih podataka. Istraživači su ograničili prikupljanje podataka. „Samo postojanje GFW-a je prava ranjivost. Popravljanje Wallbleeda nije zaustavilo cenzuru, već ga je samo učinilo manje rizičnim za cenzora”, napominju autori.
Kineski tehnički tim za hitne slučajeve nacionalne kompjuterske mreže (CNCERT) djelimično je zakrpio Wallbleed u novembru 2023. (Wallbleed v1), ali preostale greške su se nastavile sve do potpunog popravka u martu 20241.
Wallbleed naglašava dvostruke rizike infrastrukture cenzure na državnom nivou: osim suzbijanja slobode izražavanja, loše implementirani sistemi ugrožavaju globalnu sajber sigurnost. Ogromna primena GFW-a koja obuhvata svaku kinesku provinciju i glavne AS kao što je China Telecom povećala je domet greške.
“Ne radi se samo o Kini”, upozoravaju istraživači. “Svaka država koja primjenjuje duboku inspekciju paketa u velikom obimu mora prepoznati da greške u cenzurnim alatima postaju obaveza nacionalne sigurnosti.” Incident naglašava potrebu za transparentnošću u upravljanju mrežom i postavlja pitanja o etičkim odgovornostima proučavanja adversarnih sistema.
Izvor: CyberSecurityNews
