Database delle minacce Vulnerability CVE-2024-3661 Vulnerabilità

CVE-2024-3661 Vulnerabilità

I ricercatori hanno scoperto un metodo chiamato TunnelVision, una tecnica di evasione della rete privata virtuale (VPN) che consente agli autori delle minacce di intercettare il traffico di rete delle vittime che si trovano sulla stessa rete locale.

Questo approccio di "disoccultamento" è stato identificato con l'identificatore CVE CVE-2024-3661. Interessa tutti i sistemi operativi che incorporano un client DHCP che supporta le route dell'opzione DHCP 121. TunnelVision essenzialmente reindirizza il traffico non crittografato attraverso una VPN sfruttando un server DHCP controllato dall'aggressore, che utilizza l'opzione 121 del percorso statico senza classi per modificare la tabella di routing degli utenti VPN. Il protocollo DHCP, per impostazione predefinita, non autentica tali messaggi di opzioni, esponendoli così a manipolazioni.

Il ruolo del protocollo DHCP

DHCP è un protocollo client/server progettato per assegnare automaticamente agli host gli indirizzi IP (protocollo Internet) e i relativi dettagli di configurazione come maschere di sottorete e gateway predefiniti, consentendo loro di connettersi a una rete e alle sue risorse.

Questo protocollo facilita l'allocazione affidabile degli indirizzi IP attraverso un server che mantiene un pool di indirizzi disponibili e ne assegna uno a qualsiasi client abilitato per DHCP all'avvio della rete.

Poiché questi indirizzi IP sono dinamici (affittati) anziché statici (assegnati in modo permanente), gli indirizzi che non sono più in uso vengono automaticamente restituiti al pool per la riassegnazione.

La vulnerabilità consente a un utente malintenzionato di inviare messaggi DHCP per manipolare il routing, reindirizzando il traffico VPN. Questo exploit consente all'aggressore di visualizzare, interrompere o modificare potenzialmente il traffico di rete che avrebbe dovuto essere protetto dalla VPN. Poiché questo metodo funziona indipendentemente dalle tecnologie VPN o dai protocolli sottostanti, non è assolutamente influenzato dal provider VPN o dall'implementazione utilizzata.

La vulnerabilità CVE-2024-3661 può interessare la maggior parte dei principali sistemi operativi

In sostanza, TunnelVision inganna gli utenti VPN facendogli credere che le loro connessioni siano sicure e crittografate attraverso un tunnel, ma li reindirizza al server dell'aggressore per una potenziale ispezione. Per esporre con successo il traffico VPN, il client DHCP dell'host preso di mira deve supportare l'opzione DHCP 121 e accettare un lease dal server dell'utente malintenzionato.

Questo attacco assomiglia a TunnelCrack, che disperde il traffico da un tunnel VPN protetto quando si connette a reti Wi-Fi non affidabili o ISP non autorizzati, portando ad attacchi AitM (Adversary-in-the-middle).

Il problema colpisce i principali sistemi operativi come Windows, Linux, macOS e iOS, ma non Android a causa della mancanza di supporto per l’opzione DHCP 121. Sono interessati anche gli strumenti VPN che si basano esclusivamente su regole di routing per proteggere il traffico.

 

Tendenza

I più visti

Caricamento in corso...