פגיעות CVE-2024-3661

חוקרים חשפו שיטה בשם TunnelVision, טכניקת התחמקות מרשת וירטואלית פרטית (VPN) המאפשרת לשחקני איומים ליירט תעבורת רשת של קורבנות שנמצאים באותה רשת מקומית.

גישת 'הסתרת' זוהתה עם מזהה CVE CVE-2024-3661. זה משפיע על כל מערכות ההפעלה המשלבות לקוח DHCP התומך בנתיבי DHCP אפשרות 121. TunnelVision למעשה מנתב מחדש תעבורה לא מוצפנת דרך VPN על ידי מינוף שרת DHCP הנשלט על ידי תוקף, המשתמש באפשרות 121 של נתיב סטטי ללא כיתות כדי לשנות את טבלת הניתוב של משתמשי VPN. פרוטוקול DHCP, לפי תכנון, אינו מאמת הודעות אופציות כאלה, ובכך חושף אותן למניפולציה.

תפקידו של פרוטוקול DHCP

DHCP הוא פרוטוקול לקוח/שרת שנועד להקצות אוטומטית כתובות פרוטוקול אינטרנט (IP) ופרטי תצורה קשורים כמו מסכות רשת משנה ושער ברירת מחדל למארחים, מה שמאפשר להם להתחבר לרשת ולמשאביה.

פרוטוקול זה מקל על הקצאה אמינה של כתובות IP באמצעות שרת ששומר על מאגר כתובות זמינות ומקצה אחת לכל לקוח התומך ב-DHCP בעת הפעלת הרשת.

מכיוון שכתובות IP אלו הן דינמיות (מושכרות) ולא סטטיות (המוקצות לצמיתות), כתובות שאינן בשימוש עוד מוחזרות אוטומטית למאגר להקצאה מחדש.

הפגיעות מאפשרת לתוקף עם יכולת לשלוח הודעות DHCP כדי לתמרן ניתוב, להפנות תעבורת VPN. ניצול זה מאפשר לתוקף לצפות, לשבש או לשנות תעבורת רשת שצפויה להיות מאובטחת תחת ה-VPN. מכיוון ששיטה זו פועלת ללא תלות בטכנולוגיות VPN או פרוטוקולים בסיסיים, היא אינה מושפעת לחלוטין מספק ה-VPN או היישום בו נעשה שימוש.

הפגיעות של CVE-2024-3661 עשויה להשפיע על רוב מערכות ההפעלה העיקריות

למעשה, TunnelVision מטעה את משתמשי VPN לחשוב שהחיבורים שלהם מאובטחים ומוצפנים דרך מנהרה, אך מפנה אותם לשרת של התוקף לצורך בדיקה אפשרית. כדי לחשוף בהצלחה תעבורת VPN, לקוח ה-DHCP של המארח הממוקד חייב לתמוך באפשרות DHCP 121 ולקבל חוזה שכירות מהשרת של התוקף.

התקפה זו דומה ל-TunnelCrack, אשר מדליפת תעבורה ממנהרת VPN מוגנת בעת חיבור לרשתות Wi-Fi לא מהימנות או לספקי אינטרנט סוררים, מה שמוביל להתקפות של יריב-באמצע (AitM).

הבעיה משפיעה על מערכות הפעלה מרכזיות כמו Windows, Linux, macOS ו-iOS, אך לא על אנדרואיד בשל חוסר התמיכה שלה באפשרות DHCP 121. מושפעים גם כלי VPN המסתמכים אך ורק על כללי ניתוב לאבטחת תעבורה.