Un nuevo ataque filtra tráfico VPN utilizando servidores DHCP no autorizados

Iniciado por AXCESS, Mayo 07, 2024, 05:59:41 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 07, 2024, 05:59:41 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo ataque denominado "TunnelVision" puede enrutar el tráfico fuera del túnel de cifrado de una VPN, permitiendo a los atacantes espiar el tráfico no cifrado manteniendo la apariencia de una conexión VPN segura.

El método, descrito en detalle en un informe de Leviathan Security, se basa en el abuso de la opción 121 del Protocolo de configuración dinámica de host (DHCP), que permite la configuración de rutas estáticas sin clases en el sistema de un cliente.

Los atacantes configuraron un servidor DHCP fraudulento que altera las tablas de enrutamiento para que todo el tráfico VPN se envíe directamente a la red local o a una puerta de enlace maliciosa, sin ingresar nunca al túnel VPN cifrado.

"Nuestra técnica consiste en ejecutar un servidor DHCP en la misma red que un usuario VPN objetivo y también configurar nuestra configuración DHCP para que se utilice como puerta de enlace", se lee en el informe.

"Cuando el tráfico llega a nuestra puerta de enlace, utilizamos reglas de reenvío de tráfico en el servidor DHCP para pasar el tráfico a una puerta de enlace legítima mientras la espiamos".

Proceso de explotación. Fuente: Leviatán
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El problema radica en la falta de DHCP de un mecanismo de autenticación para mensajes entrantes que pudieran manipular rutas, y se le asignó el identificador de vulnerabilidad CVE-2024-3661.

Los investigadores de seguridad señalan que esta vulnerabilidad ha estado disponible para su explotación por parte de malos actores desde al menos 2002, pero no se conocen casos de explotación activa en la naturaleza.

Leviathan ha informado a muchos de los proveedores afectados, así como a CISA y EFF.
 
Los investigadores ahora han revelado públicamente el problema junto con una prueba de concepto (PoC) para crear conciencia y obligar a los proveedores de VPN a implementar medidas de protección:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Mitigar los ataques de TunnelVision

Los usuarios son más propensos a verse afectados por ataques "TunnelVision" si conectan su dispositivo a una red controlada por el atacante o donde el atacante tiene presencia. Los posibles escenarios incluirían redes Wi-Fi públicas como las de cafeterías, hoteles o aeropuertos.

La VPN en el dispositivo objetivo debe ser susceptible a la manipulación de enrutamiento, lo que según Leviathan suele ser el caso con la mayoría de los clientes VPN que usan reglas de enrutamiento a nivel de sistema sin salvaguardias antifugas.

Finalmente, es necesario habilitar la configuración automática de DHCP en el dispositivo de destino para que se aplique la configuración de DHCP maliciosa durante la conexión de red. Esta es, nuevamente, una configuración que se ve comúnmente.

Sin embargo, cabe señalar que para que este ataque funcione, el usuario debe conectarse al servidor DHCP fraudulento antes que al servidor legítimo de la red.

Los investigadores dicen que los atacantes pueden aumentar las posibilidades de que se acceda primero a sus servidores fraudulentos de múltiples maneras, incluidos ataques de inanición de DHCP contra el servidor legítimo y suplantación de ARP.

La falla TunnelVision CVE-2024-3661 afecta a Windows, Linux, macOS e iOS. Debido a que Android no es compatible con la opción DHCP 121, es el único sistema operativo importante que no se ve afectado por los ataques de TunnelVision.

Leviathan propone las siguientes mitigaciones para los usuarios de VPN:

    Utilice espacios de nombres de red en Linux para aislar las interfaces de red y las tablas de enrutamiento del resto del sistema, evitando que configuraciones DHCP no autorizadas afecten el tráfico VPN.

    Configure clientes VPN para denegar todo el tráfico entrante y saliente que no utilice la interfaz VPN. Las excepciones deben limitarse a las comunicaciones necesarias del servidor DHCP y VPN.

    Configure los sistemas para ignorar la opción 121 de DHCP mientras esté conectado a una VPN. Esto puede evitar que se apliquen instrucciones de enrutamiento maliciosas, aunque podría interrumpir la conectividad de la red en determinadas configuraciones.

    Conéctese a través de puntos de acceso personales o dentro de máquinas virtuales (VM). Esto aísla la interacción DHCP de la interfaz de red principal del sistema host, lo que reduce el riesgo de configuraciones DHCP no autorizadas.

    Evite conectarse a redes que no sean de confianza, especialmente cuando maneje datos confidenciales, ya que estos son entornos privilegiados para este tipo de ataques.

En cuanto a los proveedores de VPN, se les recomienda mejorar el software de su cliente para implementar sus propios controladores de DHCP o integrar controles de seguridad adicionales que bloquearían la aplicación de configuraciones de DHCP riesgosas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario