Мультиуніверситетська команда дослідників виявила TunnelCrack – комбінацію двох поширених вразливостей у безпеці VPN. Хакер може зловживати цими вразливостями для витоку трафіку за межі VPN-тунелю. Вразливості позначено як CVE-2023-36672 і CVE-2023-36673.
Дослідники назвали свою атаку TunnelCrack й опублікували код експлойту для підтвердження концепції.
Вони стверджують, що майже 70 клієнтів і серверів VPN вразливі до тривалих атак, які можуть призвести до витоку трафіку користувачів. Про це повідомляє itnews.
«Наші тести показують, що кожен продукт VPN уразливий принаймні на одному пристрої», – пишуть дослідники.
Найбільш вразливими виявилися VPN для iPhone, iPad, MacBook і macOS. Також вразлива більшість VPN у Windows і Linux. При цьому мережі VPN, що працюють на Android, виявилися найбільш безпечними.
Виявленими вразливими місцями можна зловживати незалежно від протоколу безпеки, який використовує VPN.
«Основна причина обох вразливостей була частиною VPN з моменту їх першого створення приблизно у 1996 році. Це означає, що вразливості залишалися непоміченими, принаймні публічно, понад два десятиліття», – написали дослідники.
Дві наступні атаки називаються атаками LocalNet і ServerIP. Обидві можуть бути використані, коли користувач підключається до ненадійної мережі Wi-Fi.
Дослідники виявили, що VPN-клієнти дозволяють відкрити трафік у двох випадках:
- трафік надсилається до їхньої локальної мережі, тобто увімкнення VPN не вимикає доступ до локальної мережі;
- місцем призначення є VPN-сервер – правило, призначене для усунення петель маршрутизації.
Вони зазначили, що у вказаних випадках можна маніпулювати винятками маршрутизації, щоб «довільний трафік надсилався за межі VPN-тунелю».
Атака на локальний трафік вимагає, щоб зловмисник мав контроль над локальною мережею, до якої підключається користувач. Наприклад, шляхом встановлення шахрайської точки доступу. Потім зловмисник призначає жертві загальнодоступну IP-адресу та підмережу.
«Оскільки жертва вважає, що ця IP-адреса доступна безпосередньо в локальній мережі, вона надішле вебзапит за межі захищеного VPN-тунелю», – йдеться в матеріалі.
Це дає зловмиснику доступ до всього незашифрованого трафіку. Навіть якщо користувач переглядає вебсайт, захищений протоколом HTTPS, зловмисник все одно побачить вебсайт, до якого має доступ жертва.
Атаки на стороні сервера також активуються зловмисником, який діє як зловмисна мережа, але вони також можуть бути запущені зі зламаного основного маршрутизатора в інтернет-провайдері.
Якщо зловмисник підробить IP-адресу на сервері VPN, то може перехопити трафік VPN від клієнта.
«Наші атаки не є дорогими в обчислювальному плані, тобто будь-хто з відповідним доступом до мережі може виконати їх. Вони не залежать від протоколу VPN, який використовується… Витік трафіку може містити конфіденційні дані, якщо використовуються старіші незахищені протоколи, і наша атака може бути використана як основа для атаки на такі старі протоколи», – пишуть дослідники.
Cisco випустила попередження щодо TunnelCrack, заявивши, що її AnyConnect і Secure Client у Linux, Windows і MacOS є вразливими.
У компанії додали, що клієнтська атака може бути заблокована за допомогою правил клієнтського брандмауера. Водночас атака на стороні сервера може бути заблокована його модулем безпеки Umbrella Roaming.
Раніше ми повідомляли, що помилки комутаторів Cisco Enterprise дають змогу зловмисникам змінювати зашифрований трафік.