Luka CVE-2024-3661 wykorzystana w ataku TunnelVision

Badacze opisali technikę zwaną TunnelVision, która umożliwia cyberprzestępcom monitorowanie ruchu sieciowego ofiar poprzez wykorzystanie tej samej sieci lokalnej. Ta metoda obejścia, nazywana „demaskowaniem”, ma identyfikator CVE-2024-3661 i wpływa na systemy operacyjne korzystające z klienta DHCP i obsługujące trasy DHCP z opcją 121.

Zasadniczo TunnelVision polega na kierowaniu niezaszyfrowanego ruchu przez sieć VPN przy użyciu zmanipulowanego przez atakującego serwera DHCP w celu skonfigurowania trasy w tabeli routingu użytkownika VPN przy użyciu opcji DHCP 121. Metoda ta wykorzystuje brak uwierzytelnienia protokołu DHCP dla tych komunikatów opcji.

DHCP, protokół klient/serwer, przypisuje adresy IP i szczegóły konfiguracji, takie jak maski podsieci i bramy, urządzeniom przyłączającym się do sieci. Zarządza dzierżawą adresów IP, odzyskując niewykorzystane adresy do realokacji.

TunnelVision umożliwia manipulowanie DHCP

Luka umożliwia atakującym manipulowanie trasami za pośrednictwem wiadomości DHCP i przekierowywanie ruchu VPN w celu potencjalnego odczytania, zakłócenia lub zmiany danych sieciowych, które powinny być chronione przez VPN. To podejście jest niezależne od konkretnych technologii VPN lub dostawców.

Atak TunnelVision oszukuje użytkowników VPN, wierząc, że ich połączenia są bezpieczne i szyfrowane, podczas gdy ruch jest przekierowywany na serwer atakującego w celu potencjalnej kontroli. Skuteczna eksploatacja wymaga, aby klient DHCP ofiary zaimplementował opcję DHCP 121 i zaakceptował dzierżawę od serwera atakującego.

Atak ten przypomina TunnelCrack, który powoduje wyciek ruchu z tunelu VPN po podłączeniu do niezaufanych sieci, ułatwiając ataki typu adversary-in-the-middle (AitM). W szczególności dotyczy to głównych systemów operacyjnych, takich jak Windows, Linux, macOS i iOS, z wyjątkiem Androida ze względu na brak obsługi opcji DHCP 121. Narzędzia VPN opierające się wyłącznie na regułach routingu są również podatne na ataki.

Badacze bezpieczeństwa opisują TunnelVision jako atak głodzenia DHCP, tworzący kanał boczny umożliwiający ominięcie enkapsulacji VPN i przekierowanie ruchu poza tunel VPN.