CVE-2024-3661 Sårbarhet

Forskere har avdekket en metode kalt TunnelVision, en unnvikelsesteknikk for Virtual Private Network (VPN) som gjør det mulig for trusselaktører å avskjære nettverkstrafikk til ofre som er på samme lokale nettverk.

Denne "decloaking"-tilnærmingen er identifisert med CVE-identifikator CVE-2024-3661. Det påvirker alle operativsystemer som inneholder en DHCP-klient som støtter DHCP-alternativ 121-ruter. TunnelVision omdirigerer i hovedsak ukryptert trafikk gjennom en VPN ved å utnytte en angriperkontrollert DHCP-server, som bruker klasseløs statisk rutealternativ 121 for å endre rutingtabellen til VPN-brukere. DHCP-protokollen, ved design, autentiserer ikke slike alternativmeldinger, og utsetter dem dermed for manipulasjon.

Rollen til DHCP-protokollen

DHCP er en klient/server-protokoll designet for å automatisk tildele IP-adresser (Internet Protocol) og relaterte konfigurasjonsdetaljer som subnettmasker og standard gatewayer til verter, slik at de kan koble til et nettverk og dets ressurser.

Denne protokollen letter pålitelig tildeling av IP-adresser gjennom en server som opprettholder en pool av tilgjengelige adresser og tildeler en til enhver DHCP-aktivert klient ved nettverksoppstart.

Siden disse IP-adressene er dynamiske (leie) i stedet for statiske (permanent tildelt), returneres adresser som ikke lenger er i bruk automatisk til bassenget for ny tilordning.

Sårbarheten lar en angriper med evnen til å sende DHCP-meldinger for å manipulere ruting og omdirigere VPN-trafikk. Denne utnyttelsen lar angriperen potensielt se, forstyrre eller endre nettverkstrafikk som var forventet å være sikker under VPN. Siden denne metoden fungerer uavhengig av VPN-teknologier eller underliggende protokoller, er den helt upåvirket av VPN-leverandøren eller implementeringen som brukes.

CVE-2024-3661-sårbarheten kan påvirke de fleste større operativsystemer

I hovedsak lurer TunnelVision VPN-brukere til å tro at forbindelsene deres er sikre og krypterte gjennom en tunnel, men omdirigerer dem til angriperens server for potensiell inspeksjon. For å lykkes med å avsløre VPN-trafikk, må målvertens DHCP-klient støtte DHCP-alternativ 121 og godta en leieavtale fra angriperens server.

Dette angrepet ligner TunnelCrack, som lekker trafikk fra en beskyttet VPN-tunnel når du kobler til upålitelige Wi-Fi-nettverk eller useriøse Internett-leverandører, noe som fører til motstander-i-midt-angrep (AitM).

Problemet påvirker store operativsystemer som Windows, Linux, macOS og iOS, men ikke Android på grunn av manglende støtte for DHCP-alternativ 121. VPN-verktøy som utelukkende er avhengige av rutingregler for å sikre trafikk, påvirkes også.