Podatność TunnelVision, oficjalnie oznaczona jako CVE-2024-3661, stanowi poważną lukę w sposobie, w jaki oparte na routingu wirtualne sieci prywatne (VPN) obsługują ruch sieciowy. Ta podatność wykorzystuje fundamentalną funkcjonalność protokołu Dynamic Host Configuration Protocol (DHCP) opcji 121, używanego do konfigurowania tras statycznych bezklasowych w tabeli routingu klienta. W tym artykule omówimy, czym jest TunnelVision, jak działa i jakie środki można podjąć, aby złagodzić jej skutki. Odpowiemy też na pytanie czy podatność TunnelVison sprawia tunel VPN nie jest bezpieczny.
Zrozumienie VPN i ich bezpieczeństwa
Wirtualne sieci prywatne (VPN) tworzą bezpieczny tunel dla ruchu sieciowego, umożliwiając użytkownikom dostęp do zasobów na innej sieci. Zapewniając bezpieczeństwo poprzez szyfrowanie przesyłanych danych. Ta konfiguracja jest niezbędna do zachowania prywatności i bezpieczeństwa informacji. Szczególnie w środowiskach takich jak publiczne Wi-Fi, gdzie ruch sieciowy może zostać przechwycony.
Podczas próby nawiązania połączenia ze zdalnym serwerem dostawcy sieci VPN, serwer uwierzytelnia użytkownika i tworzy zaszyfrowany tunel. To właśnie w tym wirtualnym tunelu będą później transferowane dane. Będą one zaszyfrowane, co uczyni je nieczytelnymi dla osób które nie mają dostępu do klucza szyfrowania. W momencie gdy dane dotrą do serwera, serwer za pomocą własnego klucza prywatnego odszyfruje je, oraz prześle je do docelowej witryny z którą próbujesz się połączyć.
Jak TunnelVision wykorzystuje VPN
Podatność TunnelVision wykorzystuje opcję DHCP 121, która pozwala serwerowi DHCP dostarczać trasy statyczne bezklasowe do tabeli routingu oprogramowania VPN. Atakujący na tej samej lokalnej sieci mogą wykorzystać tę opcję, aby przekierować ruch VPN na inną, niebezpieczną sieć. Zasadniczo omijając w ten sposób mechanizmy bezpieczeństwa VPN. Co istotne, ten atak nie wymaga kompromitacji kluczowej infrastruktury sieciowej, takiej jak serwery DHCP. To czyni go stosunkowo prostym do przeprowadzenia.
Podatność TunnelVision – VPN nie jest bezpieczny
TunnelVision został przetestowany i potwierdzony jako wpływający na wiele systemów operacyjnych obsługujących trasy DHCP opcji 121, w tym Windows, Linux, iOS i macOS. Android jest zauważalnie niewrażliwy, ponieważ nie obsługuje opcji 121 w DHCP.
Odkrycie to jest szczególnie alarmujące dla osób i organizacji polegających na VPN-ach w celu ochrony prywatności i bezpieczeństwa – zwłaszcza dziennikarzy, aktywistów i dysydentów politycznych, którzy używają tych usług, aby ukryć swoje działania przed wrogimi podmiotami. Ale ma również wpływ na bezpieczeństwo wszystkich użytkowników w tym pracowników firm.
Wytyczne dla użytkowników i dostawców VPN
Dla użytkowników:
- Unikaj korzystania z VPN-ów w niezaufanych sieciach bez dodatkowych zabezpieczeń, takich jak segregacja sieciowa czy zaawansowane ustawienia zapory ogniowej. Jest to trudne lub wręcz nie wykonalne. Podłączając się do sieci nie mamy informacji o tym jak jest ona zbudowana i zabezpieczona.
- Rozważ używanie hotspotu zamiast publicznego Wi-Fi.
- Rozważ uruchomienie VPN wewnątrz maszyny wirtualnej, aby zapobiec instalacji tras przez serwer DHCP lokalnej sieci (Help Net Security).
Dla dostawców VPN:
- Wprowadzenie ochrony DHCP, takiej jak DHCP snooping, które pomaga zapobiegać działaniom złośliwych serwerów DHCP.
- Konfiguracja zabezpieczeń portów na przełącznikach sieciowych, aby ograniczyć liczbę rozpoznanych adresów MAC na port, co blokuje fałszywe pakiety.
- Ignorowanie opcji 121 podczas aktywacji VPN, choć może to prowadzić do problemów z łącznością sieciową (Home Page).
Podsumowanie – podatność TunnelVision – VPN nie jest bezpieczny
Podatność TunnelVision rzuca wyzwanie powszechnym przekonaniom na temat bezpieczeństwa VPN. Wskazuje na potrzebę bardziej dokładnego zrozumienia, co VPN-y mogą, a czego nie mogą zabezpieczyć. Technika ta była potencjalnie wykorzystywana od 2002 roku. To może sugerować, że wiele osób mogło być nieświadomie kompromitowanych. Odkrycia te podkreślają odpowiedzialność dostawców VPN, użytkowników i twórców systemów operacyjnych za ponowne ocenienie i wzmocnienie ram bezpieczeństwa wokół korzystania z VPN.