Um novo ataque chamado "TunnelVision" consegue desviar o tráfego para fora do túnel de criptografia de uma VPN, permitindo que os atacantes espiem o tráfego não criptografado enquanto mantêm a aparência de uma conexão VPN segura.
O método, descrito em detalhes em um relatório da Leviathan Security, depende do abuso da opção 121 do Dynamic Host Configuration Protocol (DHCP), que permite a configuração de rotas estáticas sem classe no sistema de um cliente.
Os atacantes configuram um servidor DHCP malicioso que altera as tabelas de roteamento de modo que todo o tráfego da VPN é enviado direto para a rede local ou um gateway malicioso, nunca entrando no túnel criptografado da VPN.
"Nossa técnica é executar um servidor DHCP na mesma rede que um usuário alvo da VPN e também configurar nosso DHCP para usar a si mesmo como um gateway," afirma o relatório.
"Quando o tráfego atinge nosso gateway, usamos regras de encaminhamento de tráfego no servidor DHCP para passar o tráfego através de um gateway legítimo enquanto o monitoramos," diz também o relatório
O problema reside na falta de um mecanismo de autenticação do DHCP para mensagens de entrada que poderiam manipular rotas, e foi atribuído o identificador de vulnerabilidade
CVE-2024-3661
.
Os pesquisadores de segurança observam que essa vulnerabilidade está disponível para exploração por agentes mal-intencionados desde pelo menos 2002, mas não há casos conhecidos de exploração ativa no mundo real.
A Leviathan informou muitos dos fornecedores impactados, bem como à CISA e à EFF.
Agora, os pesquisadores divulgaram publicamente a questão junto com um exploit de prova de conceito para aumentar a conscientização e compelir os fornecedores de VPN a implementar medidas de proteção.
Os usuários têm mais chances de serem impactados pelos ataques "TunnelVision" se conectarem seus dispositivos a uma rede que é controlada pelo atacante ou onde o atacante tem presença.
Cenários possíveis incluiriam redes Wi-Fi públicas, como as de cafeterias, hotéis ou aeroportos.
A VPN no dispositivo alvo deve ser suscetível à manipulação de roteamento, o que a Leviathan diz ser geralmente o caso com a maioria dos clientes de VPN que usam regras de roteamento no nível do sistema sem salvaguardas contra vazamentos.
Finalmente, a configuração DHCP automática no dispositivo alvo precisa estar habilitada, para que a configuração DHCP maliciosa seja aplicada durante a conexão de rede.
Isso é, novamente, uma configuração comumente vista.
No entanto, deve-se notar que, para este ataque funcionar, um usuário deve se conectar ao servidor DHCP malicioso antes do servidor legítimo da rede.
Os pesquisadores dizem que os atacantes podem aumentar a chance de seus servidores maliciosos serem acessados primeiro de várias maneiras, incluindo ataques de esgotamento de DHCP contra o servidor legítimo e spoofing ARP.
A falha TunnelVision
CVE-2024-3661
impacta Windows, Linux, macOS e iOS.
Devido ao Android não ter suporte para a opção 121 do DHCP, é o único sistema operacional importante não impactado pelos ataques do TunnelVision.
A Leviathan propõe as seguintes medidas de mitigação para usuários de VPN:
-Usar namespaces de rede no Linux para isolar interfaces de rede e tabelas de roteamento do resto do sistema, impedindo que configurações DHCP maliciosas afetem o tráfego da VPN.
-Configurar clientes de VPN para negar todo o tráfego de entrada e saída que não utilize a interface da VPN.
-Exceções devem ser limitadas a comunicações DHCP e do servidor VPN necessárias.
-Configurar sistemas para ignorar a opção 121 do DHCP enquanto conectados a uma VPN.
Isso pode impedir que instruções de roteamento maliciosas sejam aplicadas, embora possa
interromper a conectividade de rede sob certas configurações.
-Conectar-se através de hotspots pessoais ou dentro de máquinas virtuais (VM).
Isso isola a interação do DHCP da interface de rede principal do sistema host, reduzindo o risco de configurações DHCP maliciosas.
-Evitar conectar-se a redes não confiáveis, especialmente ao lidar com dados sensíveis, pois esses são ambientes primeiros para tais ataques.
Quanto aos provedores de VPN, são incentivados a aprimorar seu software cliente para implementar seus próprios manipuladores de DHCP ou integrar verificações de segurança adicionais que bloqueariam a aplicação de configurações DHCP arriscadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...