研究人员揭示了一种新的攻击方法,称为TunnelVision,被唯一标识为CVE-2024-3661,攻击者可以利用该方法在同一本地网络上拦截和窥探VPN用户的流量。
这种攻击对于普通的VPN用户来说是难以察觉的,并且有可能有一些个人或实体已经秘密使用这种技术数年。
研究人员指出:“幸运的是,大多数使用商业VPN的用户发送的网络流量大多是HTTPS(实际上约为85%)。对于使用TunnelVision的攻击者来说,HTTPS流量看起来像乱码,但他们知道你把这些乱码发送给了谁,这可能是一个问题。”
如果一个网站使用HTTP,那么攻击者就可以查看你说的一切以及你说话的对象。
攻击者使用TunnelVision技术有效地利用了动态主机配置协议(DHCP)的一个内置特性:DHCP选项121,该选项允许DHCP服务器为VPN软件的路由表提供无类别的静态路由。
攻击者通过在用户的本地网络上设置一个恶意DHCP服务器,并强制目标主机(带有VPN客户端)接受来自该服务器的临时IP地址,将用户的VPN流量强制重定向到本地网络。
研究人员解释说:“我们的技术是在针对VPN用户的相同网络上运行一个DHCP服务器,并将我们的DHCP配置设置为使用自身作为网关。当流量到达我们的网关时,我们在DHCP服务器上使用流量转发规则将流量传递到合法网关,同时我们窥探它。”
研究人员还分享了攻击的视频演示和可以在不同场景中工作的实验室设置代码(受损的DHCP服务器/接入点,攻击者拥有基础设施,“邪恶双胞胎”接入点)。
研究人员指出,TunnelVision是一种比以前展示的TunnelCrack更一般的攻击技术,TunnelCrack依赖于滥用非RFC1918 IP范围来泄露流量或DNS欺骗以欺骗VPN客户端添加IP地址的路由规则例外。
“从同一攻击者视角来看,通过DHCP推送路由具有更大的影响,”他们评价道。
TunnelVision攻击不违反DHCP、路由表或VPN的安全属性。
“在我们的技术中,我们没有破解VPN的加密安全协议,VPN仍然是完全可用的。攻击者实际上是强制目标用户不使用他们的VPN隧道,”Cronce和Moratti指出。
“无论我们是否将其归类为一种技术,当VPN用户依赖于VPN可以保护他们免受本地网络上的攻击时,他们都会受到影响。”
“漏洞”影响实施DHCP客户端的操作系统,根据其RFC规范实施DHCP选项121路由的支持。该列表包括Windows、Linux、iOS和macOS,但不包括Android,因为它不支持DHCP选项121。
大多数(如果不是全部)依赖路由规则的VPN解决方案都受到影响,尽管一些通过实施防火墙规则来阻止用户流量传输到非VPN接口的VPN解决方案可以减轻这个问题。
研究人员已经概述了当前可用的修复和缓解措施,并敦促VPN提供商、操作系统维护者和企业实施这些措施。
“公司VPN通常在咖啡店、酒店或机场等地方使用。网络管理员应该告知员工在这些地方工作存在风险,应尽量避免,”他们说。
“如果这样的政策不可行,那么管理员应该建议使用能够启用(…)缓解措施或修复的VPN。一些替代方案包括使用可信的热点然后连接到VPN。最后,在虚拟机内运行VPN,该虚拟机从虚拟化的DHCP服务器获取租约将完全阻止本地网络的DHCP服务器安装路由。”。
同样,消费者端的VPN用户应考虑不使用不受信任的(如公共Wi-Fi)网络,使用他们的VPN的热点,或者在没有桥接网络适配器的虚拟机内使用VPN。
