Исследователи подробно описали метод обхода виртуальной частной сети (VPN), получивший название TunnelVision, который позволяет субъектам угрозы отслеживать сетевой трафик жертвы, просто находясь в той же локальной сети.
Методу decloaking был присвоен идентификатор CVE CVE-2024-3661 (оценка CVSS: 7,6). Она воздействует на все операционные системы, в которых реализован DHCP-клиент, и поддерживает 121 маршрут с опцией DHCP.
По своей сути TunnelVision включает маршрутизацию трафика без шифрования через VPN посредством настроенного злоумышленником DHCP-сервера, использующего бесклассовую опцию статического маршрута 121 для задания маршрута в таблице маршрутизации пользователя VPN.
Это также связано с тем фактом, что протокол DHCP по своей конструкции не проверяет подлинность таких дополнительных сообщений, тем самым подвергая их манипулированию.
DHCP - это клиент-серверный протокол, который автоматически предоставляет хосту интернет-протокола (IP) его IP-адрес и другую соответствующую информацию о конфигурации, такую как маска подсети и шлюз по умолчанию, чтобы получить доступ к сети и ее ресурсам.
Она также помогает надежно настраивать IP-адреса через сервер, который поддерживает пул IP-адресов и сдает адрес в аренду любому клиенту с поддержкой DHCP при запуске в сети.
Поскольку эти IP-адреса являются динамическими (т. е. арендуемыми), а не статическими (т. е. Назначенными постоянно), адреса, которые больше не используются, автоматически возвращаются в пул для перераспределения.
В двух словах, уязвимость позволяет злоумышленнику, имеющему возможность отправлять сообщения DHCP, манипулировать маршрутами для перенаправления трафика VPN, тем самым позволяя ему считывать, прерывать или, возможно, изменять сетевой трафик, который, как ожидалось, должен быть защищен VPN.
"Поскольку этот метод не зависит от использования технологий VPN или базовых протоколов, он работает полностью независимо от поставщика VPN или реализации", - сказали исследователи Leviathan Security Group Дэни Кронс и Лиззи Моратти.
"Наш метод заключается в запуске DHCP-сервера в той же сети, что и целевой пользователь VPN, а также в настройке нашей конфигурации DHCP на использование самого себя в качестве шлюза. Когда трафик попадает на наш шлюз, мы используем правила переадресации трафика на DHCP-сервере для передачи трафика на законный шлюз, пока отслеживаем его."
Другими словами, TunnelVision обманывает пользователя VPN, заставляя его поверить, что его соединения защищены и маршрутизируются через зашифрованный туннель, тогда как на самом деле он был перенаправлен на сервер злоумышленника, чтобы его можно было потенциально проверить.
Однако, чтобы успешно блокировать VPN-трафик, DHCP-клиент целевого хоста должен реализовать опцию DHCP 121 и принять аренду DHCP от сервера, контролируемого злоумышленником.
Атака также похожа на TunnelCrack, который предназначен для утечки трафика за пределы защищенного VPN-туннеля при подключении к ненадежной сети Wi-Fi или интернет-провайдеру-мошеннику, что приводит к атакам типа "злоумышленник посередине" (AitM).
Проблема затрагивает все основные операционные системы, такие как Windows, Linux, macOS и iOS, за исключением Android, поскольку в нем нет поддержки опции DHCP 121. Она также затрагивает инструменты VPN, которые полагаются исключительно на правила маршрутизации для защиты трафика хоста.
С тех пор Mullvad подтвердила, что в настольных версиях ее программного обеспечения действуют правила брандмауэра, блокирующие любой трафик на общедоступные IP-адреса за пределами VPN-туннеля, но признала, что версия iOS уязвима для TunnelVision.
Однако ее еще предстоит интегрировать и отправить исправление из-за сложности проекта, над которым шведская компания заявила, что работает "некоторое время".
"Уязвимость TunnelVision (CVE-2024-3661) предоставляет злоумышленникам метод обхода инкапсуляции VPN и перенаправления трафика за пределы VPN-туннеля", - сказали исследователи Zscaler, описывая ее как метод, который использует атаку с отключением DHCP для создания побочного канала.
"Этот метод включает в себя использование опции DHCP 121 для маршрутизации трафика без шифрования через VPN, в конечном итоге отправляя его в Интернет по побочному каналу, созданному злоумышленником".
Для смягчения проблемы TunnelVision организациям рекомендуется внедрить отслеживание DHCP, защиту ARP и безопасность портов на коммутаторах. Также рекомендуется внедрить сетевые пространства имен в Linux, чтобы исправить поведение.
Методу decloaking был присвоен идентификатор CVE CVE-2024-3661 (оценка CVSS: 7,6). Она воздействует на все операционные системы, в которых реализован DHCP-клиент, и поддерживает 121 маршрут с опцией DHCP.
По своей сути TunnelVision включает маршрутизацию трафика без шифрования через VPN посредством настроенного злоумышленником DHCP-сервера, использующего бесклассовую опцию статического маршрута 121 для задания маршрута в таблице маршрутизации пользователя VPN.
Это также связано с тем фактом, что протокол DHCP по своей конструкции не проверяет подлинность таких дополнительных сообщений, тем самым подвергая их манипулированию.
DHCP - это клиент-серверный протокол, который автоматически предоставляет хосту интернет-протокола (IP) его IP-адрес и другую соответствующую информацию о конфигурации, такую как маска подсети и шлюз по умолчанию, чтобы получить доступ к сети и ее ресурсам.
Она также помогает надежно настраивать IP-адреса через сервер, который поддерживает пул IP-адресов и сдает адрес в аренду любому клиенту с поддержкой DHCP при запуске в сети.
Поскольку эти IP-адреса являются динамическими (т. е. арендуемыми), а не статическими (т. е. Назначенными постоянно), адреса, которые больше не используются, автоматически возвращаются в пул для перераспределения.
В двух словах, уязвимость позволяет злоумышленнику, имеющему возможность отправлять сообщения DHCP, манипулировать маршрутами для перенаправления трафика VPN, тем самым позволяя ему считывать, прерывать или, возможно, изменять сетевой трафик, который, как ожидалось, должен быть защищен VPN.
"Поскольку этот метод не зависит от использования технологий VPN или базовых протоколов, он работает полностью независимо от поставщика VPN или реализации", - сказали исследователи Leviathan Security Group Дэни Кронс и Лиззи Моратти.
"Наш метод заключается в запуске DHCP-сервера в той же сети, что и целевой пользователь VPN, а также в настройке нашей конфигурации DHCP на использование самого себя в качестве шлюза. Когда трафик попадает на наш шлюз, мы используем правила переадресации трафика на DHCP-сервере для передачи трафика на законный шлюз, пока отслеживаем его."
Другими словами, TunnelVision обманывает пользователя VPN, заставляя его поверить, что его соединения защищены и маршрутизируются через зашифрованный туннель, тогда как на самом деле он был перенаправлен на сервер злоумышленника, чтобы его можно было потенциально проверить.
Однако, чтобы успешно блокировать VPN-трафик, DHCP-клиент целевого хоста должен реализовать опцию DHCP 121 и принять аренду DHCP от сервера, контролируемого злоумышленником.
Атака также похожа на TunnelCrack, который предназначен для утечки трафика за пределы защищенного VPN-туннеля при подключении к ненадежной сети Wi-Fi или интернет-провайдеру-мошеннику, что приводит к атакам типа "злоумышленник посередине" (AitM).
Проблема затрагивает все основные операционные системы, такие как Windows, Linux, macOS и iOS, за исключением Android, поскольку в нем нет поддержки опции DHCP 121. Она также затрагивает инструменты VPN, которые полагаются исключительно на правила маршрутизации для защиты трафика хоста.
С тех пор Mullvad подтвердила, что в настольных версиях ее программного обеспечения действуют правила брандмауэра, блокирующие любой трафик на общедоступные IP-адреса за пределами VPN-туннеля, но признала, что версия iOS уязвима для TunnelVision.
Однако ее еще предстоит интегрировать и отправить исправление из-за сложности проекта, над которым шведская компания заявила, что работает "некоторое время".
"Уязвимость TunnelVision (CVE-2024-3661) предоставляет злоумышленникам метод обхода инкапсуляции VPN и перенаправления трафика за пределы VPN-туннеля", - сказали исследователи Zscaler, описывая ее как метод, который использует атаку с отключением DHCP для создания побочного канала.
"Этот метод включает в себя использование опции DHCP 121 для маршрутизации трафика без шифрования через VPN, в конечном итоге отправляя его в Интернет по побочному каналу, созданному злоумышленником".
Для смягчения проблемы TunnelVision организациям рекомендуется внедрить отслеживание DHCP, защиту ARP и безопасность портов на коммутаторах. Также рекомендуется внедрить сетевые пространства имен в Linux, чтобы исправить поведение.
