Ataque expõe tráfego de VPN
8 de Maio de 2024

Um novo ataque chamado "TunnelVision" consegue desviar o tráfego para fora do túnel de criptografia de uma VPN, permitindo que os atacantes espiem o tráfego não criptografado enquanto mantêm a aparência de uma conexão VPN segura.

O método, descrito em detalhes em um relatório da Leviathan Security, depende do abuso da opção 121 do Dynamic Host Configuration Protocol (DHCP), que permite a configuração de rotas estáticas sem classe no sistema de um cliente.

Os atacantes configuram um servidor DHCP malicioso que altera as tabelas de roteamento de modo que todo o tráfego da VPN é enviado direto para a rede local ou um gateway malicioso, nunca entrando no túnel criptografado da VPN.

"Nossa técnica é executar um servidor DHCP na mesma rede que um usuário alvo da VPN e também configurar nosso DHCP para usar a si mesmo como um gateway," afirma o relatório.

"Quando o tráfego atinge nosso gateway, usamos regras de encaminhamento de tráfego no servidor DHCP para passar o tráfego através de um gateway legítimo enquanto o monitoramos," diz também o relatório

O problema reside na falta de um mecanismo de autenticação do DHCP para mensagens de entrada que poderiam manipular rotas, e foi atribuído o identificador de vulnerabilidade CVE-2024-3661 .

Os pesquisadores de segurança observam que essa vulnerabilidade está disponível para exploração por agentes mal-intencionados desde pelo menos 2002, mas não há casos conhecidos de exploração ativa no mundo real.

A Leviathan informou muitos dos fornecedores impactados, bem como à CISA e à EFF.

Agora, os pesquisadores divulgaram publicamente a questão junto com um exploit de prova de conceito para aumentar a conscientização e compelir os fornecedores de VPN a implementar medidas de proteção.

Os usuários têm mais chances de serem impactados pelos ataques "TunnelVision" se conectarem seus dispositivos a uma rede que é controlada pelo atacante ou onde o atacante tem presença.

Cenários possíveis incluiriam redes Wi-Fi públicas, como as de cafeterias, hotéis ou aeroportos.

A VPN no dispositivo alvo deve ser suscetível à manipulação de roteamento, o que a Leviathan diz ser geralmente o caso com a maioria dos clientes de VPN que usam regras de roteamento no nível do sistema sem salvaguardas contra vazamentos.

Finalmente, a configuração DHCP automática no dispositivo alvo precisa estar habilitada, para que a configuração DHCP maliciosa seja aplicada durante a conexão de rede.

Isso é, novamente, uma configuração comumente vista.

No entanto, deve-se notar que, para este ataque funcionar, um usuário deve se conectar ao servidor DHCP malicioso antes do servidor legítimo da rede.

Os pesquisadores dizem que os atacantes podem aumentar a chance de seus servidores maliciosos serem acessados primeiro de várias maneiras, incluindo ataques de esgotamento de DHCP contra o servidor legítimo e spoofing ARP.

A falha TunnelVision CVE-2024-3661 impacta Windows, Linux, macOS e iOS.

Devido ao Android não ter suporte para a opção 121 do DHCP, é o único sistema operacional importante não impactado pelos ataques do TunnelVision.

A Leviathan propõe as seguintes medidas de mitigação para usuários de VPN:

-Usar namespaces de rede no Linux para isolar interfaces de rede e tabelas de roteamento do resto do sistema, impedindo que configurações DHCP maliciosas afetem o tráfego da VPN.

-Configurar clientes de VPN para negar todo o tráfego de entrada e saída que não utilize a interface da VPN.

-Exceções devem ser limitadas a comunicações DHCP e do servidor VPN necessárias.

-Configurar sistemas para ignorar a opção 121 do DHCP enquanto conectados a uma VPN.
Isso pode impedir que instruções de roteamento maliciosas sejam aplicadas, embora possa
interromper a conectividade de rede sob certas configurações.

-Conectar-se através de hotspots pessoais ou dentro de máquinas virtuais (VM).
Isso isola a interação do DHCP da interface de rede principal do sistema host, reduzindo o risco de configurações DHCP maliciosas.

-Evitar conectar-se a redes não confiáveis, especialmente ao lidar com dados sensíveis, pois esses são ambientes primeiros para tais ataques.

Quanto aos provedores de VPN, são incentivados a aprimorar seu software cliente para implementar seus próprios manipuladores de DHCP ou integrar verificações de segurança adicionais que bloqueariam a aplicação de configurações DHCP arriscadas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...