TunnelVision VPN ranjivost

AUTOR ·

TunnelVision je bezbjednosna ranjivost (CVE-2024-3661) koju je otkrila kompanija Leviathan Security Group koja utiče na VPN servise sa punim i podijeljenim tunelima na Windows, Linux, macOS i iOS. Napad funkcioniše tako što manipuliše DHCP serverom kako bi zamijenio podrazumijevana pravila rutiranja za VPN saobraćaj, preusmjeravajući ga kroz DHCP server umjesto kroz šifrovani tunel. Ovo omogućava napadaču da pročita, ispusti ili modifikuje procurjeli saobraćaj dok žrtva ostaje povezana i sa svojim VPN servisom i sa internetom.

TunnelVision

TunnelVision VPN ranjivost; Source: Bing Image Creator

TUNNELVISION RANJIVOST

TunnelVision napad je novootkrivena tehnika koja omogućava zlonamjernim akterima da zaobiđu servise virtuelne privatne mreže (VPN), što rezultira curenjem podataka saobraćaja iz VPN tunela. Napad funkcioniše tako što koristi ugrađene funkcije Dynamic Host Configuration Protocol – DHCP, koji se obično koristi za automatsko dodjeljivanje IP adresa na mrežama. Zlonamjerni akteri mogu da manipulišu DHCP opcijama, prisiljavajući saobraćaj van VPN tunela i izlažući ga potencijalnom prisluškivanju. Ranjivost je dobila oznaku CVE-2024-3661 sa CVSS ocjenom 7.6 od 10.

Pojedinci i organizacije naširoko prihvataju VPN servise kao sredstvo za obezbjeđivanje njihove internet komunikacije, posebno kada pristupaju javnim WiFi mrežama ili rade na daljinu. Primarna funkcija VPN servisa je stvaranje šifrovanog i privatnog kanala preko interneta, štiteći na taj način korisnike od potencijalnog prisluškivanja. Međutim, sa pojavom TunnelVision ranjivosti, ovaj fundamentalni princip bezbjednosti je doveden u pitanje.

 

“Ovo je posebno opasno za ljude koji se oslanjaju na VPN da bi ih zaštitili, kao što su novinari i politički disidenti. Srećom, većina korisnika koji koriste komercijalne VPN-ove šalje internet saobraćaj koji je uglavnom HTTPS (u stvari, oko 85%). HTTPS saobraćaj izgleda kao besmislica napadačima koji koriste TunnelVision, ali oni znaju kome šaljete te besmislice, što može biti problem. Ako internet lokacija koristi HTTP, onda postaje moguće vidjeti sve što govorite, kao i kome to govorite.”

 – Leviathan Security Group –

 

Implikacije TunnelVision napada su dalekosežne i za pojedinačne korisnike i za organizacije koje se oslanjaju na VPN servise za bezbjednu komunikaciju. Osjetljive informacije kao što su lični podaci, korporativne tajne i vladine komunikacije mogu biti ugrožene ako napadači uspješno iskoriste ovu ranjivost. Napad služi kao oštar podsjetnik na razvoj prijetnji u sajber bezbjednosti i potrebu da se ostane proaktivan u zaštiti digitalne bezbjednosti.

 

FUNKCIONISANJE RANJIVOSTI

Napad TunnelVision je tehnika koju napadači koriste za otkrivanje i presretanje VPN (virtuelne privatne mreže) saobraćaja manipulisanjem serverom Dinamic Host Configuration Protocol – DHCP koji dodjeljuje IP adrese uređajima koji pokušavaju da se povežu na lokalnu mrežu.

Napadači postavljaju lažni DHCP server na istoj mreži kao ciljani korisnik sa VPN klijentom i koriste opciju 121 u svojoj DHCP konfiguraciji da zaobiđu podrazumijevana pravila rutiranja, uzrokujući da se VPN saobraćaj preusmjerava preko DHCP servera napadač umjesto preko legitimnog prolaza (eng. gateway). Treba napomenuti da Android nema podršku za DHCP opciju 121, to je jedini operativni sistem koji nije pogođen TunnelVision napadima.

Kada se saobraćaj žrtve usmjeri preko DHCP servera napadača, oni mogu da čitaju, ispuštaju ili mijenjaju procurjeli saobraćaj dok žrtva održava svoju vezu i sa VPN servisom i sa internetom. Posljedica je da se saobraćaj žrtve razotkrije i izloži za presretanje. Ova tehnika je možda bila moguća za izvesti od 2002. godine i potencijalno bi mogla da utiče na sve vrste VPN aplikacija kada su povezane na neprijateljsku mrežu, bez poznatih načina da se to spriječi osim u slučajevima kada VPN korisnika radi na Linux ili Android sistemima.

 

“Naša tehnika je da pokrenemo DHCP server na istoj mreži kao ciljani VPN korisnik i da takođe postavimo našu DHCP konfiguraciju da se koristi kao mrežni prolaz. Kada saobraćaj dođe do našeg prolaza, koristimo pravila za prosljeđivanje saobraćaja na DHCP serveru da bismo proslijedili saobraćaj do legitimnog prolaza dok ga osmatramo.”

 – Leviathan Security Group –

 

ZAKLJUČAK

TunnelVision napad predstavlja značajnu prijetnju za VPN korisnike, jer koristi ugrađenu funkciju DHCP protokola za presretanje njihovog internet saobraćaja i praćenje njihove komunikacije. Uticaj ove ranjivosti je dalekosežan, sa potencijalnim posljedicama u rasponu od zabrinutosti za privatnost do kršenja podataka i napada čovjek u sredini (eng. Man-in-the-Middle Attack – MitM). Istraživanje je pokazalo i da mnogi VPN provajderi trenutno daju obećanja svojim klijentima koja njihova tehnologija ne može da ispuni.

 

“VPN-ovi nisu dizajnirani da vas drže bezbjednijim na vašoj lokalnoj mreži, već da bi vaš saobraćaj bio bezbjedniji na Internetu. Kada počnete da dajete uvjeravanja da vaš proizvod štiti ljude da ne vide vaš saobraćaj, postoji uvjeravanje ili obećanje koje se ne može ispuniti.”

 – Lizzie Moratti, Leviathan Security Group –

 

Da bi se zaštitili od TunnelVision napada, korisnici bi trebalo da budu svjesni svog mrežnog okruženja, da koriste pouzdane mreže kada se povezuju preko VPN servisa i primjenjuju dodatne bezbjednosne mjere kao što su zaštitni zidovi i sistemi za otkrivanje upada. Takođe je ključno za proizvođače operativnog sistema da omoguće mrežne prostore imena (eng. network namespaces) ili druge slične zaštitne funkcije u svojim operativnim sistemima kako bi spriječili da ova vrsta napada dobije uporište na uređajima korisnika.

 

ZAŠTITA

Kada je riječ o TunnelVision ranjivosti koja utiče na VPN korisnike, neophodno je razumjeti rizike i preduzeti neophodne mjere za ublažavanje potencijalnih napada. Iako ne postoji pouzdano rješenje, primjena određenih najboljih praksi može pomoći u smanjenju rizika da se postane žrtva ove vrste napada.

  1. Ključno je biti svjestan uslova potrebnih za uspješan TunnelVision napad. Ranjivost koristi kombinaciju osjetljivog VPN klijenta koji koristi pravila rutiranja na nivou sistema bez zaštite od curenja i automatske DHCP konfiguracije na ciljnom uređaju. Stoga je onemogućavanje automatske DHCP konfiguracije osnovni prvi korak u zaštiti vaše VPN veze,
  2. Korišćenje pouzdanog i bezbjednog dobavljača VPN usluga može pomoći u smanjenju rizika od TunnelVision napada. Ugledni provajderi obično primjenjuju snažne bezbjednosne mjere kako bi zaštitili svoje korisnike od takvih ranjivosti. Pored toga, mogu ponuditi funkcije poput zaštite od DNS curenja ili IPv6 podrške koje dodatno poboljšavaju privatnost i sigurnost na mreži,
  3. Preporučena praksa je da se koristi poseban mrežni interfejs za VPN saobraćaj umjesto da se korisnici oslanjaju na podrazumijevane tabele rutiranja sistema. Ovaj pristup može pomoći da se spriječi manipulisanje pravilima rutiranja od strane zlonamjernih aktera, jer će sav saobraćaj biti preusmjeren preko VPN veze. Međutim, ovo može zahtjevati dodatnu konfiguraciju i podešavanje u zavisnosti od operativnog sistema i VPN klijenta,
  4. Za korisnike Linux operativnog sistema, omogućavanje mrežnih prostora imena smatra se najefikasnijim rješenjem za zaštitu od TunnelVision napada. Mrežni imenski prostori pružaju način da se kreiraju izolovana mrežna okruženja koja mogu pomoći u sprečavanju manipulacije rutiranjem od strane zlonamjernih aktera. Međutim, ovaj pristup možda nije izvodljiv za druge operativne sisteme (ne-Linux operativne sisteme) i zahteva napredne vještine konfigurisanja,
  5. Izbjegavanje javnih WiFi mreža ili njihovo oprezno korišćenje je od suštinskog značaja, jer su one glavne mete za TunnelVision napade zbog svoje otvorene prirode i lakoće kojom napadači mogu da dobiju pristup mrežnom saobraćaju uređaja. Ako se moraju koristiti javne WiFi mreže, razmisliti o korišćenju VPN usluge za šifrovanje svih podataka koji se prenose preko mrežne veze.

 

Ukratko, iako ne postoji jedinstveno rješenje koje garantuje potpunu zaštitu od TunnelVision napada, implementiranje najboljih praksi kao što je onemogućavanje automatske DHCP konfiguracije, korišćenje pouzdanog i bezbjednog VPN provajdera, omogućavanje mrežnih prostora (za korisnike Linux operativnog sistema) i izbjegavanje javnih WiFi mreža mogu pomoći u smanjenju rizika da se postane žrtva ove ranjivosti. Potrebno je biti informisan o bezbjednosnim ažuriranjima operativnog sistema i dobavljača VPN klijenata kako korisnici  bili sigurni da su zaštićeni od bilo kakvih potencijalnih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.