Luka TunnelVision umożliwia przechwytywanie zaszyfrowanego ruchu VPN

Redaktor NetMaster
Redaktor NetMaster
2 min. czytania

Badacze bezpieczeństwa odkryli nową metodę ataku, która może przechwytywać ruch użytkowników VPN pomimo szyfrowania. To praktycznie zaprzecza głównemu celowi VPN. Luka manipuluje ustawieniami serwera DHCP i działa przeciwko prawie wszystkim aplikacjom VPN.

Badacze z Leviathan Security wymodelowali nowy typ cyberataku, który według nich istnieje już od dawna i pozwala atakującym przechwytywać ruch użytkowników wirtualnej sieci prywatnej (VPN). Atak ten nazywa się TunnelVision. Wykorzystuje lukę w protokole DHCP, który służy do przypisywania adresów IP w sieciach lokalnych – podaje Arstechnica.

Jak wiadomo, sieci VPN hermetyzują ruch internetowy użytkownika w zaszyfrowanym tunelu i ukrywają jego prawdziwy adres IP. Jednak w przypadku ataku TunnelVision część lub całość ruchu jest usuwana z zaszyfrowanego tunelu i staje się dostępna do przechwycenia i analizy przez osoby atakujące.

Według Lizzie Moratti i Dani Cronce TunnelVision wpływa na prawie wszystkie aplikacje VPN na platformach Windows, macOS i iOS, z wyjątkiem Linuksa i Androida. Istnieje jednak od 2002 roku i pozostaje niezauważony. Nie można wykluczyć, że hakerzy wykorzystali go już w rzeczywistych atakach.

Z opublikowanego badania wynika, że ​​napastnicy uruchamiają własny serwer DHCP w tej samej sieci, z którą łączy się ofiara. Serwer ten używa protokołu DHCP (opcja 121) do zmiany reguł routingu na urządzeniu ofiary. W rezultacie całość lub tylko część ruchu zaczyna przechodzić przez serwer DHCP hakerów w formie niezaszyfrowanej. Jednocześnie samo połączenie VPN pozostaje aktywne, a użytkownik niczego nie podejrzewa. Aby przeprowadzić ten atak, atakujący potrzebuje dostępu administracyjnego do sieci, z którą łączy się ofiara.

Należy zauważyć, że w chwili obecnej nie ma wielu skutecznych metod ochrony przed TunnelVision. Jedynym systemem operacyjnym całkowicie chronionym przed tym atakiem jest Android, ponieważ nie obsługuje on protokołu DHCP (opcja 121). Linux ma również ustawienia minimalizujące atak.

Tym samym TunnelVision wydaje się stanowić poważne zagrożenie dla anonimowości i prywatności użytkowników VPN, ponieważ pozwala na całkowite naruszenie szyfrowanego ruchu i zniweczenie wszystkich zalet wirtualnych sieci prywatnych. Badacze z Leviathan Security zalecają, aby programiści VPN jak najszybciej naprawili tę niebezpieczną lukę w swoich produktach.

Udostępnij ten artykuł
Dodaj komentarz