Новая техника TunnelVision может обходить инкапсуляцию VPN

Техника обхода VPN, известная как TunnelVision, представляет собой новое средство, которое позволяет злоумышленникам подслушивать трафик пользователей, обходя шифрование, предусмотренное VPN. Исследователи из компании Leviathan Security недавно обнаружили эту инновационную схему атаки, которая использует встроенные возможности протокола DHCP (Dynamic Host Configuration Protocol) для перенаправления трафика пользователя из под VPN-тоннеля, что делает его уязвимым для перехвата.

При использовании этой техники VPN утрачивает возможность шифровать определённые пакеты, что делает данные доступными для злоумышленников. Данный процесс назван исследователями «раскрытием» (decloaking). Кроме того, во время атаки канал контроля VPN всё равно остаётся активным, и пользователи продолжают выглядеть как подключенные к VPN, что затрудняет обнаружение атаки.

TunnelVision манипулирует таблицами маршрутизации, которые ответственны за передачу сетевого трафика через VPN-тоннель. Данная методика эксплуатирует уязвимость, обозначенную как CVE-2024-3661, которая представляет собой ошибку проектирования DHCP. В рамках данной уязвимости сообщения, такие как классный статический маршрут (опция 121), не авторизованы и могут быть изменены злоумышленниками. Опция 121 позволяет администраторам добавлять статические маршруты в таблицы маршрутизации клиентов с использованием неклассных диапазонов. Ограничение на количество маршрутов, которые могут быть одновременно установлены, касается лишь размера пакета.

Злоумышленник, имеющий возможность отправлять DHCP-сообщения, может изменить маршруты, перенаправляя трафик VPN. Это открывает ему возможность перехвата, вмешательства или даже манипуляции сетевым трафиком. Нападающий, находясь в локальной сети, может использовать этот метод, чтобы перенаправить трафик на локальную сеть вместо секции VPN.

Злоумышленники смогут отправить трафик в обход VPN только в том случае, если целевая машина примет DHCP-аренду от сервера, находящегося под контролем атакующего, и клиент DHCP на целевой машине поддерживает опцию 121. В отчете Leviathan Security подчеркивается: «Важно отметить, что атакующий может стать DHCP-сервером для целевого пользователя, находясь в одной сети.

Кроме того, исследователи сообщают о своих экспериментальных результатах, где они смогли разрабатывать подделанные DHCP-серверы, чтобы локально ответить на DHCPDISCOVER запросы. Они сообщили, что их метод позволяет перехватывать трафик, направляя его через подделанный шлюз. Когда трафик проходит через их шлюз, они могут применять правила пересылки, чтобы отправить трафик дальше к легитимному шлюзу, записывая его в процессе.

Исследователи также указали, что жертва, находясь в атаке, не замечает разрыва соединения с VPN. Более того, уязвимость не связана с конкретным поставщиком VPN или его реализацией. Метод TunnelVision оказывается эффективным против большинства VPN-систем на основе IP-маршрутизации.

По мнению экспертов, данная уязвимость могла существовать в протоколе DHCP с 2002 года, когда была внедрена опция 121. Существует вероятность того, что данный метод уже мог быть обнаружен и использован злоумышленниками на практике. Чтобы снизить риски, поставщики VPN могут внедрить сетевые пространства имен в поддерживаемых операционных системах, позволяя изолировать интерфейсы и маршрутизационные таблицы от контроля локальной сети.

Специалисты также предложили дополнительные меры защиты, такие как:

• использование правил брандмауэра,
• отказ от части опции 121,
• применение точки доступа Wi-Fi или виртуальных машин,
• избегание использования ненадежных сетей.

В конце своего отчета исследователи выразили свои трудности, связанные с тестированием множества VPN. Они сначала пытались уведомить компании о своих находках через программы вознаграждений за выявление ошибок, но поняли, что это становится неэффективным.

Исследовательская команда также взаимодействовала с организациями, такими как EFF и CISA, чтобы широко сообщить о проблеме до публичного раскрытия их результатов. В заключение отчета говорится: «Мы выражаем огромную благодарность всем, кто помог нам в этом вопросе». Исследователи опубликовали видео, демонстрирующее Proof of Concept (PoC) атаки, показывающее, как TunnelVision может быть реализован на практике.