Yeni araştırmalar, birden fazla tünel protokolünde, saldırganların çok çeşitli saldırılar gerçekleştirmesine olanak verebilecek güvenlik açıklarını ortaya çıkardı.
Top10VPN, KU Leuven profesörü ve araştırmacı Mathy Vanhoef ile yapılan işbirliğinin bir parçası olarak yapılan bir çalışmada, “Gönderenin kimliğini doğrulamadan tünel paketlerini kabul eden İnternet ana bilgisayarları, anonim saldırılar gerçekleştirmek ve ağlarına erişim sağlamak için ele geçirilebilir.” dedi.
VPN sunucuları, ISP ev yönlendiricileri, çekirdek internet yönlendiricileri, mobil ağ geçitleri ve içerik dağıtım ağı (CDN) düğümleri de dahil olmak üzere 4,2 milyon kadar ana bilgisayarın saldırılara açık olduğu tespit edildi. En çok etkilenen ülkeler listesinin başında Çin, Fransa, Japonya, ABD ve Brezilya geliyor.
Eksikliklerin başarılı bir şekilde kullanılması, bir saldırganın duyarlı bir sistemi tek yönlü proxy’ler olarak kötüye kullanmasına ve ayrıca hizmet reddi (DoS) saldırıları gerçekleştirmesine olanak tanıyabilir.
CERT Koordinasyon Merkezi (CERT/CC) bir danışma belgesinde “Bir düşman, tek yönlü proxy’ler oluşturmak ve kaynak IPv4/6 adreslerini taklit etmek için bu güvenlik açıklarını kötüye kullanabilir” dedi. “Hassas sistemler aynı zamanda bir kuruluşun özel ağına erişime izin verebilir veya DDoS saldırıları gerçekleştirmek için kötüye kullanılabilir.”
Güvenlik açıkları, esas olarak bağlantısız iki ağ arasında veri aktarımını kolaylaştırmak için kullanılan IP6IP6, GRE6, 4’ü 6 ve 6’sı 4 gibi tünel protokollerinin, İnternet Protokolü Güvenliği gibi yeterli güvenlik protokolleri olmadan trafiği doğrulamaması ve şifrelememesi gerçeğinden kaynaklanmaktadır ( IPsec).
Ek güvenlik korkuluklarının bulunmaması, daha önce 2020’de (CVE-2020-10136) işaretlenen bir kusurun bir varyasyonu olan, bir saldırganın tünele kötü amaçlı trafik enjekte edebileceği bir senaryonun kapısını açıyor.
Söz konusu protokoller için aşağıdaki CVE tanımlayıcıları atanmıştır:
- CVE-2024-7595 (GRE ve GRE6)
- CVE-2024-7596 (Genel UDP Kapsülleme)
- CVE-2025-23018 (IPv6’da IPv4 ve IPv6’da IPv6)
- CVE-2025-23019 (IPv4’te IPv6)
Top10VPN’den Simon Migliano, “Bir saldırganın, iki IP başlığına sahip, etkilenen protokollerden birini kullanarak kapsüllenmiş bir paket göndermesi yeterlidir.” dedi.
“Dış başlık, saldırganın kaynak IP’sini ve hedef olarak savunmasız ana bilgisayarın IP’sini içerir. İç başlığın kaynak IP’si, saldırganın değil, savunmasız ana bilgisayarın IP’sidir. Hedef IP, anonim saldırının hedefinin IP’sidir.”
Böylece, savunmasız ana bilgisayar kötü amaçlı paketi aldığında, otomatik olarak dış IP adresi başlığını çıkarır ve iç paketi hedefine iletir. İç paketteki kaynak IP adresinin savunmasız ancak güvenilir ana bilgisayarın IP adresi olduğu göz önüne alındığında, ağ filtrelerini geçebilir.
Savunma olarak, kimlik doğrulama ve şifreleme sağlamak için IPSec veya WireGuard kullanılması ve yalnızca güvenilir kaynaklardan gelen tünel paketlerinin kabul edilmesi önerilir. Ağ düzeyinde, yönlendiriciler ve orta kutular üzerinde trafik filtrelemenin uygulanması, Derin paket incelemesinin (DPI) gerçekleştirilmesi ve tüm şifrelenmemiş tünel paketlerinin engellenmesi de önerilir.
Migliano, “Bu DoS saldırılarının kurbanları üzerindeki etkisi arasında ağ tıkanıklığı, aşırı trafik nedeniyle kaynakların tüketilmesi nedeniyle hizmet kesintisi ve aşırı yüklenmiş ağ cihazlarının çökmesi sayılabilir” dedi. “Aynı zamanda ortadaki adam saldırıları ve veri müdahalesi gibi daha fazla istismar için fırsatlar da yaratıyor.”