Güvenlik araştırmacıları, yönlendirme tabanlı Sanal Özel Ağlardaki (VPN’ler) temel bir kusuru açığa çıkaran, potansiyel olarak saldırganların trafiğinin güvenli bir şekilde şifrelendiğine inansalar bile kullanıcıların çevrimiçi etkinliklerini gözetlemesine olanak tanıyan “TunnelVision” adı verilen yeni bir tekniği ortaya çıkardı.
Leviathan Güvenlik Grubu’ndan Lizzie Moratti ve Dani Cronce tarafından keşfedilen teknik, bilgisayarların çoklu ağ bağlantılarını ve yönlendirme tablolarını yönetme biçiminden yararlanıyor.
Bir kullanıcı bir VPN’e bağlandığında, bu, ev Wi-Fi’si veya genel erişim noktası gibi normal bağlantılarının yanı sıra başka bir ağ arayüzü haline gelir. Kullanıcının trafiğini hangi ağın yönetmesi gerektiğini belirleyen yönlendirme tabloları bu bağlantıları yönetir.
TunnelVision, yönlendirme kurallarını değiştirerek, kullanıcı VPN’e güvenli bir şekilde bağlı görünse bile trafiği VPN tünelinden diğer ağlara yönlendirerek bu sistemden yararlanır.
“TunnelVision gizlemeyi başardı: araştırmacılar, normalde korunması gereken trafiği ortaya çıkarıyor” diye açıkladı. “Sonuçlar önemli. Güvenilmeyen ağlarda koruma sağlamak için bu hizmetlere güvenen VPN kullanıcıları, sanki hiç VPN kullanmıyormuş gibi savunmasızdırlar.”
TunnelVision Nasıl Çalışır?
Saldırı, bir ağdaki cihazlara otomatik olarak IP adresleri ve diğer ağ yapılandırma ayarlarını atayan Dinamik Ana Bilgisayar Yapılandırma Protokolü’nün (DHCP) yerleşik bir özelliğinden yararlanmaya dayanıyor.
Özellikle TunnelVision, bir DHCP sunucusunun VPN yazılımının yönlendirme tabloları için sınıfsız statik yollar sağlamasına izin veren DHCP seçeneği 121’i kötüye kullanır.
VPN kullanıcısıyla aynı yerel ağda bulunan bir saldırgan, sahte bir DHCP sunucusu kurabilir ve hedeflenen ana bilgisayarı geçici bir IP adresi kabul etmeye zorlayabilir.
Saldırgan, DHCP sunucusunu ağ geçidi olarak yapılandırarak ve trafik yönlendirme kurallarını kullanarak, kurbanın trafiğini gözetleyebilir ve bunu meşru ağ geçidine geçirerek VPN şifrelemesini etkili bir şekilde atlayabilir.
Yaygın Etki
Araştırmacılar, TunnelVision’ın herhangi bir VPN sağlayıcısına veya uygulamasına bağlı olmadığını, çoğu VPN sisteminde ortak olan temel yönlendirme mekanizmalarını hedef aldığını belirtiyor.
Ek olarak, güvenlik açığı muhtemelen DHCP’de, seçenek 121’in tanıtıldığı 2002 yılından bu yana mevcuttu; bu, tehdit aktörlerinin bu tekniği yıllardır gizlice kullanıyor olabileceği anlamına geliyor.
Etkilenen işletim sistemleri arasında Windows, Linux, iOS ve macOS yer alır; çünkü bunlar, DHCP istemcilerini RFC spesifikasyonuna göre uygular ve DHCP seçenek 121 yollarını destekler. Android, seçenek 121’e yönelik destek eksikliği nedeniyle etkilenmeden kalır.
Azaltmalar
Leviathan Güvenlik Grubu, CVE-2024-3661’i atanan güvenlik açığını Electronic Frontier Foundation (EFF) ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) bildirdi; bu kuruluş, kamuya açıklanmadan önce 50’den fazla satıcının bilgilendirilmesine yardımcı oldu.
TunnelVision saldırılarını azaltmak için araştırmacılar, VPN sağlayıcılarının destekleyici işletim sistemlerine ağ ad alanları uygulamasını, arayüzleri ve yönlendirme tablolarını yerel ağ kontrolünden etkili bir şekilde izole etmesini öneriyor.
Ek olarak kuruluşlar, DHCP gözetlemeyi, ARP korumalarını ve anahtarlarda bağlantı noktası güvenliğini etkinleştirmeli ve VPN kullanımdayken DHCP sunucusu için 121 numaralı seçeneği göz ardı etmeyi düşünmelidir; ancak bu, belirli senaryolarda ağ bağlantısı sorunlarına neden olabilir.
Araştırmacılar ayrıca VPN sağlayıcılarını pazarlama materyallerini gözden geçirmeye ve TunnelVision sorunu düzgün bir şekilde çözülene kadar ürünlerinin güvenilmeyen ağlardaki müşterileri koruduğuna dair iddialarda bulunmaya son vermeye çağırıyor.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.