Visione a tunnel: gli aggressori possono aggirare le VPN e reindirizzare i dati

Se ti trovi in ​​un ambiente di rete inaffidabile, utilizza una VPN, un mantra di sicurezza spesso citato. Un gruppo di ricerca composto da due persone ha ora scoperto un modo per analizzare il traffico dati nonostante la presenza di una VPN. Il trucco: interferendo con il routing della vittima, questa semplicemente instrada il traffico attraverso la VPN. In determinate circostanze gli aggressori possono ottenere dalle loro vittime pacchetti di dati non crittografati. L’attacco funziona quando la vittima e l’aggressore si trovano sulla stessa rete locale (LAN), ma è difficile da rilevare. Android da solo non è intrinsecamente vulnerabile: altri sistemi operativi richiedono misure di sicurezza aggiuntive.

annuncio

Tutte le VPN testate dai ricercatori sono interessate dalla vulnerabilità chiamata “TunnelVision” e affermano di aver informato più di 50 produttori del problema di sicurezza. Il punto di partenza dell’attacco è l’«opzione 121» del Dynamic Host Configuration Protocol (DHCP), introdotto nel 2002, che regola l’assegnazione dinamica degli indirizzi IP. Un server DHCP può utilizzare questa opzione per fornire ai dispositivi informazioni di routing oltre al proprio indirizzo IP per inviare il traffico a una rete di destinazione specifica su un percorso diverso da quello predefinito.

Se l’utente utilizza una VPN, ad esempio su una rete WiFi non protetta in un hotel, tutti i pacchetti di dati verranno crittografati prima di lasciare il computer verso il gateway VPN. Questo li decrittografa e li inoltra agli indirizzi effettivi dei destinatari. In circostanze normali, un avversario può individuare i pacchetti in una WLAN non protetta, ma non può violare la crittografia VPN. Se però controlla il server DHCP competente, può semplicemente comandare ai dispositivi finali di inviare i propri dati tramite la VPN. A tale scopo invia l’opzione DHCP 121 con il percorso corrispondente, ad esempio per inoltrare tutte le richieste DNS. La crittografia VPN non è più necessaria, ma la connessione VPN rimane attiva in modo che l’utente non venga a conoscenza dell’attacco.

Il server DHCP è solitamente sotto il controllo dell’amministratore di sistema e non può essere gestito da terzi. Tuttavia, un utente malintenzionato potrebbe inserire un secondo server DHCP nella LAN, ma dovrebbe silenziare il server DHCP “attendibile”. Probabilmente il modo più semplice è richiedere indirizzi IP in massa fino all’esaurimento del pool di indirizzi. Il server DHCP inserito può quindi intervenire nell’hacking e assegnare autonomamente gli indirizzi. Una volta che il dispositivo di destinazione si associa, reindirizza il traffico prima che la crittografia VPN sia completa e da quel momento in poi può leggere.

Il traffico è crittografato prima che entri nella VPN, ad esempio quando si accede a siti Web utilizzando… https In tal caso, la crittografia rimane in vigore; Un utente malintenzionato non può leggere dati di testo normale. Tuttavia, può determinare quali destinazioni visita una vittima, il che può avere gravi conseguenze.

Chiunque può giocare a DHCP

Il problema principale con la visione a tunnel è la mancanza di DHCPsec. I server DHCP non si autenticano presso i propri client; Il vincitore è colui che assegna più velocemente l’indirizzo IP all’utente. UN Progettare un metodo per proteggere DHCP L’allora dipendente Intel Baiju V. Patel lo suggerì nel 1997, ma non accadde nulla. Uno proposto nel 2001 RFC3118 Sebbene esista una forma rudimentale di autenticazione DHCP, questa protegge solo da collisioni accidentali tra più server DHCP e non da attacchi intenzionali.

L’attacco con visione a tunnel ha successo anche se esiste già una connessione VPN. L’aggressore deve solo attendere che il dispositivo terminale venga attaccato per rinnovare l’assegnazione del suo indirizzo IP e inviare una richiesta corrispondente al server DHCP. Leviathan Security ha ricreato il problema con Windows, Linux, iOS e MacOS, solo che l’attacco non funziona su Android perché Android ignora l’opzione DHCP 121.

Trattamento: divisione, blocco, ignoranza

Per gli utenti Android la vita è particolarmente semplice: poiché il sistema operativo mobile ignora semplicemente l’opzione DHCP 121, non è vulnerabile a TunnelVision. Tuttavia, gli utenti di altri sistemi operativi dovrebbero adottare contromisure per evitare di cadere nella trappola. Il team di autori di Leviathan Security suggerisce diversi passaggi per utenti e fornitori di VPN.

Chi tiene all’anonimato e alla privacy dovrebbe evitare di connettersi a reti non affidabili, di utilizzare la funzione hotspot del proprio smartphone o di configurare una connessione VPN tramite una macchina virtuale senza adattatore di rete “bridge”. I fornitori di VPN possono utilizzare misure tecniche aggiuntive per proteggere i propri clienti.

Dal kernel 2.6.24 (nato nel 2008), Linux ha conosciuto il cosiddetto network namespaces. Ciò consente di segmentare la rete in modo tale che un attacco Tunnel Vision non esponga il traffico dati non crittografato. Tuttavia un dispositivo isolato in questo modo non può accedere alle risorse della rete locale.

Altrimenti è possibile proteggere la connessione VPN utilizzando le classiche regole del firewall, in modo che i pacchetti di dati che attraversano la VPN non vengano persi. Ma anche questa, secondo gli scopritori, non è una protezione completa: con un attacco statistico side-channel è ancora possibile trarre conclusioni su quali indirizzi IP si dirigerà la vittima. A tal fine, però, l’aggressore deve essere in grado di intercettare il traffico dati, ad esempio in una WLAN non crittografata.

Si tratta davvero di una vulnerabilità della sicurezza?

La scoperta non è del tutto nuova. L’hacker tedesco Jomo ha segnalato nel 2017 il reindirizzamento tramite l’opzione DHCP 121 e ha avvertito che ciò metteva a rischio il traffico VPN.

Il team Leviatano formato da Lizzie Moratti e Danny Krones affronta ora il problema per la prima volta È stato discusso in dettaglio (Inclusa prova video del concetto, Codice di configurazione del laboratorio E Immagine del server DHCP). A Leviatano è stato assegnato anche il numero CVE CVE-2024-3661 (Vulnerabilità ed esposizioni comuni).

I ricercatori riconoscono che la visione a tunnel non dovrebbe necessariamente essere vista come una vulnerabilità della sicurezza. In definitiva, l’attacco dipende da un’opzione che funziona in base alla progettazione. Sono tuttavia necessari operatori VPN, sviluppatori di sistemi operativi e amministratori di sistema. È più importante che mai evitare gli hotspot Wi-Fi pubblici. In definitiva, affinché l’attacco abbia successo, potrebbe essere sufficiente che l’aggressore si trovi sulla stessa rete.

Prima della pubblicazione, Leviathan Security ha informato decine di noti fornitori di VPN, anche con l’assistenza della Electronic Frontier Foundation (EFF) e dell’agenzia statunitense per la sicurezza informatica CISA. I ricercatori temono che il reindirizzamento tramite l’opzione DHCP 121 sia in vigore dal 2002. Nella fase successiva i ricercatori prevedono di utilizzare il tool “ArcaneTrickster”, che semplificherà notevolmente gli attacchi e convincerà così gli ultimi scettici dell’industria delle VPN.

Le VPN sono un obiettivo utile per gli aggressori. Sofisticati cyber-gangster si sono integrati così profondamente nei dispositivi VPN Ivanti che la CISA li ha messi offline con un editto. Come sospettano le autorità americane, gli hacker del Volt Typhoon vengono pagati dal governo cinese.

(S)