Luka CVE-2024-3661

Badacze odkryli metodę o nazwie TunnelVision, technikę unikania wirtualnej sieci prywatnej (VPN), umożliwiającą cyberprzestępcom przechwytywanie ruchu sieciowego ofiar znajdujących się w tej samej sieci lokalnej.

To podejście polegające na „ukrywaniu” zostało zidentyfikowane za pomocą identyfikatora CVE CVE-2024-3661. Wpływa na wszystkie systemy operacyjne zawierające klienta DHCP obsługującego trasy DHCP z opcją 121. TunnelVision zasadniczo przekierowuje niezaszyfrowany ruch przez VPN, wykorzystując kontrolowany przez atakującego serwer DHCP, który wykorzystuje bezklasową opcję trasy statycznej 121 do modyfikowania tabeli routingu użytkowników VPN. Protokół DHCP z założenia nie uwierzytelnia takich komunikatów opcji, narażając je w ten sposób na manipulację.

Rola protokołu DHCP

DHCP to protokół klient/serwer zaprojektowany w celu automatycznego przypisywania adresów protokołu internetowego (IP) i powiązanych szczegółów konfiguracji, takich jak maski podsieci i bramy domyślne, do hostów, umożliwiając im łączenie się z siecią i jej zasobami.

Protokół ten ułatwia niezawodną alokację adresów IP za pośrednictwem serwera, który utrzymuje pulę dostępnych adresów i przypisuje je każdemu klientowi obsługującemu DHCP po uruchomieniu sieci.

Ponieważ te adresy IP są dynamiczne (dzierżawione), a nie statyczne (przypisane na stałe), adresy, które nie są już używane, są automatycznie zwracane do puli w celu ponownego przypisania.

Luka umożliwia osobie atakującej wysyłanie komunikatów DHCP w celu manipulowania routingiem i przekierowywania ruchu VPN. Ten exploit umożliwia atakującemu potencjalne przeglądanie, zakłócanie lub modyfikowanie ruchu sieciowego, który miał być bezpieczny w ramach VPN. Ponieważ ta metoda działa niezależnie od technologii VPN lub podstawowych protokołów, dostawca VPN ani używana implementacja nie mają na nią żadnego wpływu.

Luka CVE-2024-3661 może dotyczyć większości głównych systemów operacyjnych

Zasadniczo TunnelVision oszukuje użytkowników VPN, myśląc, że ich połączenia są bezpieczne i szyfrowane przez tunel, ale przekierowuje ich na serwer atakującego w celu potencjalnej kontroli. Aby skutecznie ujawnić ruch VPN, klient DHCP docelowego hosta musi obsługiwać opcję DHCP 121 i akceptować dzierżawę od serwera atakującego.

Atak ten przypomina TunnelCrack, który powoduje wyciek ruchu z chronionego tunelu VPN podczas łączenia się z niezaufanymi sieciami Wi-Fi lub nieuczciwymi dostawcami usług internetowych, co prowadzi do ataków typu adversary-in-the-middle (AitM).

Problem dotyczy głównych systemów operacyjnych, takich jak Windows, Linux, macOS i iOS, ale nie Androida ze względu na brak obsługi opcji DHCP 121. Problem dotyczy również narzędzi VPN polegających wyłącznie na regułach routingu w celu zabezpieczenia ruchu.