CVE-2024-3661 Kahinaan

Natuklasan ng mga mananaliksik ang isang paraan na pinangalanang TunnelVision, isang pamamaraan ng pag-iwas sa Virtual Private Network (VPN) na nagbibigay-daan sa mga aktor ng pagbabanta na harangin ang trapiko sa network ng mga biktima na nasa parehong lokal na network.

Ang 'decloaking' na diskarte na ito ay natukoy sa CVE identifier na CVE-2024-3661. Nakakaapekto ito sa lahat ng operating system na nagsasama ng isang DHCP client na sumusuporta sa DHCP option 121 ruta. Ang TunnelVision ay mahalagang inuulit ang hindi naka-encrypt na trapiko sa pamamagitan ng VPN sa pamamagitan ng paggamit ng isang DHCP server na kinokontrol ng attacker, na gumagamit ng walang klase na static na opsyon sa ruta 121 upang baguhin ang routing table ng mga user ng VPN. Ang DHCP protocol, sa pamamagitan ng disenyo, ay hindi nagpapatunay ng mga naturang opsyon na mensahe, kaya inilalantad ang mga ito sa pagmamanipula.

Ang Papel ng DHCP Protocol

Ang DHCP ay isang client/server protocol na idinisenyo upang awtomatikong magtalaga ng mga Internet Protocol (IP) address at mga nauugnay na detalye ng configuration tulad ng mga subnet mask at default na gateway sa mga host, na nagbibigay-daan sa kanila na kumonekta sa isang network at mga mapagkukunan nito.

Pinapadali ng protocol na ito ang maaasahang paglalaan ng mga IP address sa pamamagitan ng isang server na nagpapanatili ng isang pool ng mga available na address at nagtatalaga ng isa sa anumang DHCP-enabled na kliyente sa pagsisimula ng network.

Dahil ang mga IP address na ito ay dynamic (naupahan) sa halip na static (permanenteng itinalaga), ang mga address na hindi na ginagamit ay awtomatikong ibabalik sa pool para sa muling pagtatalaga.

Ang kahinaan ay nagbibigay-daan sa isang umaatake na may kakayahang magpadala ng mga mensahe ng DHCP upang manipulahin ang pagruruta, pag-redirect ng trapiko ng VPN. Ang pagsasamantalang ito ay nagpapahintulot sa umaatake na potensyal na tingnan, guluhin, o baguhin ang trapiko sa network na inaasahang magiging secure sa ilalim ng VPN. Dahil ang pamamaraang ito ay gumagana nang hiwalay sa mga teknolohiya ng VPN o pinagbabatayan na mga protocol, ganap itong hindi naaapektuhan ng VPN provider o ginamit na pagpapatupad.

Ang CVE-2024-3661 Vulnerability ay Maaaring Makaapekto sa Karamihan sa Mga Pangunahing Operating System

Sa esensya, nililinlang ng TunnelVision ang mga gumagamit ng VPN sa pag-iisip na ang kanilang mga koneksyon ay ligtas at naka-encrypt sa pamamagitan ng isang tunnel ngunit nire-redirect sila sa server ng umaatake para sa potensyal na inspeksyon. Upang matagumpay na mailantad ang trapiko ng VPN, dapat suportahan ng DHCP client ng target na host ang opsyon 121 ng DHCP at tumanggap ng lease mula sa server ng attacker.

Ang pag-atakeng ito ay kahawig ng TunnelCrack, na naglalabas ng trapiko mula sa isang protektadong VPN tunnel kapag kumokonekta sa mga hindi pinagkakatiwalaang Wi-Fi network o rogue ISP, na humahantong sa mga pag-atake ng adversary-in-the-middle (AitM).

Ang isyu ay nakakaapekto sa mga pangunahing operating system gaya ng Windows, Linux, macOS, at iOS, ngunit hindi sa Android dahil sa kakulangan nito ng suporta para sa DHCP na opsyon 121. Ang mga tool ng VPN na umaasa lamang sa mga panuntunan sa pagruruta upang ma-secure ang trapiko ay apektado din.