Onderzoekers hebben een Virtual Private Network (VPN) bypass-techniek beschreven, genaamd Tunnelvisie waarmee bedreigingsactoren in het netwerkverkeer van het slachtoffer kunnen snuffelen door zich gewoon op hetzelfde lokale netwerk te bevinden.
Aan de “decloaking”-methode is de CVE-identificatie toegewezen CVE-2024-3661 (CVSS-score: 7,6). Het is van invloed op alle besturingssystemen die een DHCP-client implementeren en biedt ondersteuning voor DHCP-optie 121-routes.
In de kern omvat TunnelVision het routeren van verkeer zonder encryptie via een VPN door middel van een door de aanvaller geconfigureerde DHCP-server die gebruik maakt van de klasseloze statische routeoptie 121 om een route in te stellen in de routeringstabel van de VPN-gebruiker.
Het komt ook voort uit het feit dat het DHCP-protocol dergelijke optieberichten niet authentiseert, waardoor ze aan manipulatie worden blootgesteld.
DHCP is een client/server-protocol dat automatisch een Internet Protocol (IP)-host voorziet van zijn IP-adres en andere gerelateerde configuratie-informatie, zoals het subnetmasker en de standaardgateway, om toegang te krijgen tot het netwerk en zijn bronnen.
Het helpt ook bij het betrouwbaar configureren van IP-adressen via een server die een verzameling IP-adressen bijhoudt en een adres verhuurt aan elke DHCP-client wanneer deze op het netwerk opstart.
Omdat deze IP-adressen dynamisch zijn (dwz geleasd) in plaats van statisch (dwz permanent toegewezen), worden adressen die niet langer in gebruik zijn automatisch teruggestuurd naar de pool voor herverdeling.
De kwetsbaarheid maakt het in een notendop mogelijk dat een aanvaller DHCP-berichten kan verzenden om routes te manipuleren om VPN-verkeer om te leiden, waardoor hij netwerkverkeer kan lezen, verstoren of mogelijk wijzigen dat naar verwachting door de VPN zou worden beschermd. .
“Omdat deze techniek niet afhankelijk is van het exploiteren van VPN-technologieën of onderliggende protocollen, werkt deze volledig onafhankelijk van de VPN-aanbieder of implementatie”, aldus Leviathan Security Group-onderzoekers Dani Cronce en Lizzie Moratti.
“Onze techniek is om een DHCP-server op hetzelfde netwerk te laten draaien als een beoogde VPN-gebruiker en om onze DHCP-configuratie ook zo in te stellen dat deze zichzelf als gateway gebruikt. Wanneer het verkeer onze gateway bereikt, gebruiken we verkeersdoorstuurregels op de DHCP-server om door te geven verkeer door naar een legitieme gateway terwijl wij ernaar snuffelen.”
Met andere woorden, TunnelVision laat een VPN-gebruiker geloven dat zijn verbindingen beveiligd zijn en door een gecodeerde tunnel worden geleid, terwijl deze in werkelijkheid zijn omgeleid naar de server van de aanvaller, zodat deze mogelijk kan worden geïnspecteerd.
Om het VPN-verkeer echter succesvol te ontmaskeren, moet de DHCP-client van de beoogde host DHCP-optie 121 implementeren en een DHCP-lease accepteren van de door de aanvaller bestuurde server.
De aanval is ook vergelijkbaar met TunnelCrack, dat is ontworpen om verkeer buiten een beveiligde VPN-tunnel te lekken wanneer er verbinding wordt gemaakt met een niet-vertrouwd wifi-netwerk of een malafide ISP, wat resulteert in Adversary-in-the-Middle (AitM)-aanvallen.
Het probleem treft alle grote besturingssystemen zoals Windows, Linux, macOS en iOS, met uitzondering van Android, omdat dit geen ondersteuning biedt voor DHCP-optie 121. Het treft ook VPN-tools die uitsluitend afhankelijk zijn van routeringsregels om het verkeer van de host te beveiligen.
Mullvad heeft sindsdien bevestigd dat de desktopversies van zijn software firewallregels hebben om verkeer naar openbare IP's buiten de VPN-tunnel te blokkeren, maar erkende dat de iOS-versie kwetsbaar is voor TunnelVision.
Het moet echter nog worden geïntegreerd en met een oplossing worden verzonden vanwege de complexiteit van de onderneming, waar het Zweedse bedrijf naar eigen zeggen al “enige tijd” aan werkt.
“De TunnelVision-kwetsbaarheid (CVE-2024-3661) legt een methode bloot waarmee aanvallers VPN-inkapseling kunnen omzeilen en verkeer buiten de VPN-tunnel kunnen omleiden”, aldus Zscaler-onderzoekers, die het omschrijven als een techniek die gebruik maakt van een DHCP-hongeraanval om een zijkanaal te creëren. .
“Deze techniek omvat het gebruik van DHCP-optie 121 om verkeer zonder encryptie door een VPN te leiden en het uiteindelijk naar internet te sturen via een zijkanaal dat door de aanvaller is gecreëerd.”
Om TunnelVision te beperken, wordt organisaties aangeraden DHCP-snooping, ARP-beveiligingen en poortbeveiliging op switches te implementeren. Het wordt ook geadviseerd om netwerknaamruimten op Linux te implementeren om het gedrag op te lossen.
