CVE-2024-3661 Sebezhetőség

A kutatók egy TunnelVision nevű módszert fedeztek fel, amely egy virtuális magánhálózat (VPN) kijátszási technikája, amely lehetővé teszi a fenyegetés szereplői számára, hogy elfogják az ugyanazon a helyi hálózaton lévő áldozatok hálózati forgalmát.

Ezt a „decloaking” megközelítést a CVE-2024-3661 CVE azonosítóval azonosították. Ez minden olyan operációs rendszert érint, amely DHCP-ügyfelet tartalmaz, amely támogatja a 121-es DHCP-útvonalakat. A TunnelVision lényegében a titkosítatlan forgalmat VPN-en keresztül irányítja át egy támadó által vezérelt DHCP-kiszolgáló segítségével, amely a 121-es osztály nélküli statikus útvonalopciót használja a VPN-felhasználók útválasztási táblázatának módosítására. A DHCP-protokoll a tervezésnél fogva nem hitelesíti az ilyen opcióüzeneteket, így manipulációnak teszi ki azokat.

A DHCP protokoll szerepe

A DHCP egy kliens/szerver protokoll, amelyet arra terveztek, hogy automatikusan hozzárendelje az Internet Protocol (IP) címeket és a kapcsolódó konfigurációs részleteket, például alhálózati maszkokat és alapértelmezett átjárókat a gazdagépekhez, lehetővé téve számukra a hálózathoz és annak erőforrásaihoz való csatlakozást.

Ez a protokoll megkönnyíti az IP-címek megbízható kiosztását egy szerveren keresztül, amely fenntartja az elérhető címek készletét, és a hálózat indításakor hozzárendel egyet bármely DHCP-képes ügyfélhez.

Mivel ezek az IP-címek dinamikusak (lízingelt), nem pedig statikusak (véglegesen hozzárendelve), a már használaton kívüli címek automatikusan visszakerülnek a készletbe újrakiosztás céljából.

A biztonsági rés lehetővé teszi a DHCP-üzenetek küldésére képes támadók számára, hogy manipulálják az útválasztást, átirányítsák a VPN-forgalmat. Ez a kihasználás lehetővé teszi a támadó számára, hogy potenciálisan megtekintse, megzavarja vagy módosítsa a VPN által biztonságosnak várt hálózati forgalmat. Mivel ez a módszer a VPN-technológiáktól vagy az alapul szolgáló protokolloktól függetlenül működik, a VPN-szolgáltató vagy a használt megvalósítás teljesen nincs hatással rá.

A CVE-2024-3661 biztonsági rés a legtöbb fő operációs rendszert érintheti

Lényegében a TunnelVision megtéveszti a VPN-felhasználókat, és azt gondolják, hogy kapcsolataik biztonságosak, és egy alagúton keresztül titkosítva vannak, de átirányítja őket a támadó szerverére esetleges ellenőrzés céljából. A VPN-forgalom sikeres feltárásához a megcélzott gazdagép DHCP-kliensének támogatnia kell a 121-es DHCP-beállítást, és el kell fogadnia a bérleti szerződést a támadó szerverétől.

Ez a támadás az TunnelCrackhez hasonlít, amely egy védett VPN-alagútból szivárogtatja ki a forgalmat, amikor nem megbízható Wi-Fi hálózatokhoz vagy szélhámos internetszolgáltatókhoz csatlakozik, ami AitM támadásokhoz vezet.

A probléma a fő operációs rendszereket érinti, például a Windowst, a Linuxot, a macOS-t és az iOS-t, de az Androidot nem, mivel az nem támogatja a 121-es DHCP-opciót. A forgalom biztonsága érdekében kizárólag az útválasztási szabályokra támaszkodó VPN-eszközök is érintettek.