Pesquisadores detalharam uma técnica de bypass de Rede Privada Virtual (VPN) chamada TunnelVision que permite que atores mal-intencionados espionem o tráfego da rede da vítima estando na mesma rede local.
O método de “desmascaramento” foi atribuído o identificador CVE CVE-2024-3661 (pontuação CVSS: 7.6). Isso afeta todos os sistemas operacionais que implementam um cliente DHCP e possuem suporte para rotas de opção 121 do DHCP.
Essencialmente, o TunnelVision envolve o encaminhamento de tráfego sem criptografia por meio de uma VPN por meio de um servidor DHCP configurado pelo atacante usando a opção de rota estática sem classe 121 para definir uma rota na tabela de roteamento do usuário da VPN.
Além disso, o problema decorre do fato de que o protocolo DHCP, por design, não autentica essas mensagens de opção, expondo-as à manipulação.
O DHCP é um protocolo cliente/servidor que fornece automaticamente a um host de Protocolo de Internet (IP) seu endereço IP e outras informações de configuração relacionadas, como a máscara de sub-rede e gateway padrão para acessar a rede e seus recursos.
Por serem endereços IP dinâmicos (ou seja, arrendados) em vez de estáticos (ou seja, atribuídos permanentemente), os endereços que não estão mais em uso são automaticamente devolvidos ao pool para realocação.
A vulnerabilidade torna possível para um atacante, com a capacidade de enviar mensagens DHCP, manipular rotas para redirecionar o tráfego da VPN, permitindo assim que eles leiam, interrompam ou possivelmente modifiquem o tráfego da rede que era esperado estar protegido pela VPN.
“Porque essa técnica não depende da exploração de tecnologias VPN ou protocolos subjacentes, ela funciona completamente independentemente do provedor VPN ou implementação”, disseram os pesquisadores do Leviathan Security Group Dani Cronce e Lizzie Moratti.
“Nossa técnica é executar um servidor DHCP na mesma rede que um usuário de VPN direcionado e também configurar nossa configuração DHCP para usar ele mesmo como gateway. Quando o tráfego chega ao nosso gateway, usamos regras de encaminhamento de tráfego no servidor DHCP para passar o tráfego para um gateway legítimo enquanto o espionamos.”
Em outras palavras, o TunnelVision engana um usuário de VPN fazendo-os acreditar que suas conexões estão seguras e roteadas por meio de um túnel criptografado, quando na realidade foram redirecionadas para o servidor do atacante para possível inspeção.
No entanto, para decodificar com sucesso o tráfego da VPN, o cliente DHCP do host direcionado deve implementar a opção DHCP 121 e aceitar um arrendamento DHCP do servidor controlado pelo atacante.
O ataque é semelhante ao TunnelCrack, que foi projetado para vazar tráfego fora de um túnel VPN protegido ao se conectar a uma rede Wi-Fi não confiável ou a um ISP falso, resultando em ataques de adversários no meio (AitM).
O problema afeta todos os principais sistemas operacionais como Windows, Linux, macOS e iOS com exceção do Android, pois não possui suporte para a opção DHCP 121. Também afeta ferramentas VPN que se baseiam exclusivamente em regras de roteamento para proteger o tráfego do host.
Entretanto, ainda não integrou e implementou uma solução devido à complexidade da realização, que a empresa sueca disse estar trabalhando há “algum tempo”.
“A vulnerabilidade TunnelVision (CVE-2024-3661) expõe um método para que os atacantes contornem a encapsulação VPN e redirecionem o tráfego fora do túnel VPN,” disseram os pesquisadores da Zscaler, descrevendo-a como uma técnica que emprega um ataque de roubo DHCP para criar um canal secundário.
“Essa técnica envolve o uso da opção DHCP 121 para rotear o tráfego sem criptografia por meio de uma VPN, enviando-o eventualmente para a internet por meio de um canal secundário criado pelo atacante.”
Para mitigar o TunnelVision, as organizações são recomendadas a implementar monitoramento DHCP, proteções ARP e segurança de porta em switches. Também é aconselhável implementar espaços de nomes de rede no Linux para corrigir o comportamento.