Новая атака с использованием мошеннических DHCP-серверов приводит к утечке VPN-трафика
Метод атаки подробно описанный в отчете Leviathan Security. Он основан на злоупотреблении опцией 121 протокола динамической конфигурации хоста (DHCP), которая позволяет настраивать бесклассовые статические маршруты в системе клиента.
Злоумышленники устанавливают мошеннический DHCP-сервер, который изменяет таблицы маршрутизации так, что весь VPN-трафик направляется прямо в локальную сеть или вредоносный шлюз, никогда не попадая в зашифрованный VPN-туннель.
В отчете сообщается:
Техника состоит в том, чтобы запустить DHCP-сервер в той же сети, что и целевой пользователь VPN, а также настроить конфигурацию DHCP на использование в качестве шлюза.
Когда трафик попадает на шлюз, используются правила переадресации трафика на DHCP-сервере, чтобы передать трафик на законный шлюз, одновременно отслеживая его.
Основная проблема заключается в отсутствии у DHCP механизма аутентификации входящих сообщений, который мог бы манипулировать маршрутами. Данной уязвимости был присвоен идентификатор CVE-2024-3661.
Исследователи безопасности отмечают, что эта уязвимость была доступна для эксплуатации по крайней мере с 2002 года, но случаев активного использования в реальных атаках неизвестно.
Компания Leviathan Security проинформировала многих затронутых вендоров, а также CISA и EFF. Исследователи теперь публично раскрыли проблему вместе с экспериментальным эксплойтом, чтобы повысить осведомленность и заставить поставщиков VPN реализовать меры защиты.
Как снизить риск атак TunnelVision
Риск атак «TunnelVision» будет выше, если устройство подключается к сети, которая контролируется злоумышленником или к ней подключен злоумышленник. Возможные сценарии включают общедоступные сети Wi-Fi, например, в кафе, отелях или аэропортах.
VPN-сеть на целевом устройстве должна быть восприимчива к манипуляциям с маршрутизацией. Это обычно происходит с большинством VPN-клиентов, которые используют правила маршрутизации системного уровня без защиты от утечек.
Кроме того, необходимо включить автоматическую настройку DHCP на целевом устройстве, чтобы вредоносная конфигурация DHCP применялась во время сетевого подключения. Однако, это часто встречающаяся конфигурация.
Чтобы эта атака сработала, пользователь должен подключиться к мошенническому DHCP-серверу до того, как он подключиться к легитимному серверу сети.
Согласно исследователям, злоумышленники могут увеличить вероятность того, что к их мошенническим серверам первыми получат доступ, несколькими способами, включая атаки «истощения» DHCP (DHCP starvation attacks) и подмену ARP.
Уязвимость TunnelVision CVE-2024-3661 затрагивает Windows, Linux, macOS и iOS. Android не поддерживает опцию DHCP 121, и это единственная крупная ОС, не затронутая атаками TunnelVision.
Leviathan Security предлагает следующие меры по смягчению последствий для пользователей VPN:
- Используйте сетевые пространства имен в Linux, чтобы изолировать сетевые интерфейсы и таблицы маршрутизации от остальной части системы, предотвращая влияние рискованных конфигураций DHCP на VPN-трафик.
- Настройте VPN-клиенты на запрет всего входящего и исходящего трафика, который не использует интерфейс VPN. Исключения должны быть ограничены необходимыми коммуникациями серверов DHCP и VPN.
- Настройте системы так, чтобы они игнорировали опцию DHCP 121 при подключении к VPN. Это может предотвратить применение вредоносных инструкций маршрутизации, хотя при определенных конфигурациях может нарушить сетевое подключение.
- Подключайтесь через персональные точки доступа или виртуальные машины (ВМ). Это изолирует взаимодействие DHCP от основного сетевого интерфейса хост-системы, снижая риск несанкционированных конфигураций DHCP.
- Избегайте подключения к ненадежным сетям, особенно при работе с конфиденциальными данными, поскольку они являются основной средой для таких атак.
В то же время провайдерам VPN рекомендуется усовершенствовать свое клиентское ПО, внедрив собственные обработчики DHCP или интегрировав дополнительные проверки безопасности, которые блокируют применение потенциально рискованных конфигураций DHCP.
Угрозы безопасности
• Архив Интернета взломан: украдены данные 31 миллиона пользователей
• Целевая атака на «Доктор Веб»: что нужно знать пользователям
• Обзор вирусной активности для Android в III квартале 2024 года – «Доктор Веб»
• Найдена критическая уязвимость в CUPS – пора обновить вашу Linux систему
• NOYB: Mozilla использует Firefox для отслеживания пользователей без их согласия
• Трояны для кражи данных научились обходить новую защиту Chrome – App-Bound Encryption