Os pesquisadores detalharam uma técnica de desvio de rede privada digital (VPN) apelidada Visão do túnel que permite que os agentes da ameaça espionem o tráfego de rede da vítima apenas por estarem na mesma rede native.
O método “decloaking” recebeu o identificador CVE CVE-2024-3661 (pontuação CVSS: 7,6). Ele afeta todos os sistemas operacionais que implementam um cliente DHCP e tem suporte para rotas da opção 121 do DHCP.
Basicamente, o TunnelVision envolve o roteamento de tráfego sem criptografia por meio de uma VPN por meio de um servidor DHCP configurado pelo invasor usando a opção de rota estática sem classe 121 para definir uma rota na tabela de roteamento do usuário VPN.
Também decorre do fato de o protocolo DHCP, por design, não autenticar tais mensagens de opção, expondo-as assim à manipulação.
DHCP é um protocolo cliente/servidor que fornece automaticamente a um host de protocolo de Web (IP) seu endereço IP e outras informações de configuração relacionadas, como máscara de sub-rede e gateway padrão, para acessar a rede e seus recursos.
Também ajuda a configurar endereços IP de forma confiável por meio de um servidor que mantém um conjunto de endereços IP e aluga um endereço a qualquer cliente habilitado para DHCP quando ele é inicializado na rede.
Como esses endereços IP são dinâmicos (ou seja, alugados) em vez de estáticos (ou seja, atribuídos permanentemente), os endereços que não estão mais em uso são automaticamente retornados ao pool para realocação.
A vulnerabilidade, em poucas palavras, permite que um invasor com a capacidade de enviar mensagens DHCP manipule rotas para redirecionar o tráfego VPN, permitindo assim que ele leia, interrompa ou possivelmente modifique o tráfego de rede que deveria ser protegido pela VPN. .
“Como esta técnica não depende da exploração de tecnologias VPN ou protocolos subjacentes, ela funciona de forma totalmente independente do provedor ou implementação de VPN”, disseram os pesquisadores do Leviathan Safety Group, Dani Cronce e Lizzie Moratti.
“Nossa técnica é executar um servidor DHCP na mesma rede que um usuário VPN alvo e também definir nossa configuração DHCP para usá-lo como gateway. Quando o tráfego atinge nosso gateway, usamos regras de encaminhamento de tráfego no servidor DHCP para passar tráfego para um gateway legítimo enquanto o espionamos.”
Em outras palavras, o TunnelVision engana um usuário VPN fazendo-o acreditar que suas conexões estão seguras e roteadas através de um túnel criptografado, quando na realidade ele foi redirecionado para o servidor do invasor para que possa ser potencialmente inspecionado.
No entanto, para descamuflar com êxito o tráfego VPN, o cliente DHCP do host alvo deve implementar a opção 121 de DHCP e aceitar uma concessão de DHCP do servidor controlado pelo invasor.
O ataque também é semelhante ao TunnelCrack, que foi projetado para vazar tráfego para fora de um túnel VPN protegido ao se conectar a uma rede Wi-Fi não confiável ou a um ISP desonesto, resultando em ataques de adversário no meio (AitM).
O problema afeta todos os principais sistemas operacionais como Home windows, Linux, macOS e iOS, com exceção do Android, pois não oferece suporte à opção 121 de DHCP. Também afeta ferramentas VPN que dependem exclusivamente de regras de roteamento para proteger o tráfego do host.
Desde então, Mullvad confirmou que as versões desktop de seu software program possuem regras de firewall para bloquear qualquer tráfego para IPs públicos fora do túnel VPN, mas reconheceu que a versão iOS é vulnerável ao TunnelVision.
No entanto, ainda não foi integrado e enviado uma solução devido à complexidade do empreendimento, no qual a empresa sueca disse estar trabalhando há “algum tempo”.
“A vulnerabilidade TunnelVision (CVE-2024-3661) expõe um método para os invasores contornarem o encapsulamento VPN e redirecionarem o tráfego para fora do túnel VPN”, disseram os pesquisadores da Zscaler, descrevendo-a como uma técnica que emprega um ataque de privação de DHCP para criar um canal lateral. .
“Essa técnica envolve o uso da opção 121 do DHCP para rotear o tráfego sem criptografia por meio de uma VPN, enviando-o para a Web por meio de um canal lateral criado pelo invasor”.
Para mitigar o TunnelVision, recomenda-se que as organizações implementem espionagem de DHCP, proteções ARP e segurança de porta em switches. Também é aconselhável implementar namespaces de rede no Linux para corrigir o comportamento.
