Ev yönlendiricileri, VPN sunucuları ve CDN’ler de dahil olmak üzere milyonlarca cihaz, IPIP, GRE ve 6in4/4in6 gibi ortak tünel protokollerindeki kritik kusurlar nedeniyle istismara karşı savunmasızdır. Bu güvenlik açıklarından kötü amaçlı saldırılar için nasıl yararlanılabileceğini ve cihazlarınızı nasıl koruyacağınızı öğrenin.
Top10VPN tarafından güvenlik araştırmacısı Mathy Vanhoef ile işbirliği içinde birden fazla tünel protokolünde (IPIP/IP6IP6, GRE/GRE6, 4’ü 6, 6’sı 4) yeni güvenlik açıkları keşfedildi. Bu güvenlik açıkları, saldırganların etkilenen internet ana bilgisayarlarını ele geçirerek anonim saldırılar gerçekleştirmesine ve yetkisiz ağ erişimi elde etmesine olanak tanır.
Büyük ölçekli bir internet taraması, 4,2 milyon açık tünel ana bilgisayarı tespit etti. Buna VPN sunucuları, ev yönlendiricileri, çekirdek internet yönlendiricileri, mobil ağ geçitleri ve hatta Facebook ve Tencent gibi büyük oyuncular tarafından işletilen içerik dağıtım ağları (CDN’ler) gibi kritik altyapılar dahildir. Savunmasız ana bilgisayarlar, yeni DoS teknikleri ve DNS sahtekarlığı da dahil olmak üzere bir dizi saldırıyı etkinleştirebilir. Tanımlanan güvenlik açıkları arasında CVE-2024-7595, CVE-2025-23018/23019 ve CVE-2024-7596 yer alıyor.
En çok etkilenen ülkeler Çin, Fransa, Japonya, ABD ve Brezilya’dır. 11.000’den fazla otonom sistem (AS) etkilendi; Softbank, Eircom, Telmex ve China Mobile en çok etkilenenler oldu.
Güvenlik açıkları, birçok internet sunucusunun gönderenin kimliğini doğrulamadan tünel trafiğini kabul etmesinden kaynaklanmaktadır. Bu kimlik doğrulama eksikliği, saldırganların bu ana bilgisayarları kötü amaçlı etkinlikler için proxy olarak kullanmasına olanak tanır.
“Bu ana bilgisayarlar herhangi bir kaynaktan gelen kimliği doğrulanmamış tünel trafiğini kabul ediyor. Bu, bir dizi anonim saldırı gerçekleştirmek için tek yönlü proxy’ler olarak kötüye kullanılabilecekleri anlamına gelir. Top10VPN’in araştırmacısı ve rapor yazarı Simon Migliano, savunmasız ana bilgisayarların kurbanların özel ağlarına erişim sağlamak için potansiyel olarak kötüye kullanılabileceğini belirtti.
Özellikle saldırganlar, bu ana bilgisayarları kendi adlarına trafik göndermek için manipüle edebilir, gerçek kökenlerini gizleyebilir ve saldırıların izini sürmeyi zorlaştırabilir. Bazı durumlarda saldırganlar, ele geçirilen ana bilgisayara bağlı özel ağlara erişim sağlamak için bu güvenlik açıklarından yararlanabilir.
IPIP, GRE ve 6in4/4in6 gibi tünel protokolleri modern ağ oluşturmada önemli bir rol oynayarak çeşitli ağlar arasında kesintisiz iletişim sağlar. Ancak bu protokolleri kullanan birçok cihaz, uygun kimlik doğrulama ve şifrelemeden yoksundur ve bu da onları istismara açık hale getirir.
Top10VPN’in raporuna göre, tüketici VPN’leri, uzaktan erişim özelliklerine sahip yönlendiriciler ve iş VPN’leri dahil olmak üzere en az 1.365 güvenlik açığı bulunan VPN sunucusu belirlendi. Bir milyondan fazla kullanıcısı olan bir hizmet olan AoxVPN, güvenlik açıkları arasında yer aldı.
Ek olarak, başta VPN Plus Sunucusu aracılığıyla uzaktan erişim sunan Synology modelleri olmak üzere yaklaşık 1.200 güvenlik açığına sahip dinamik DNS yönlendiricisi tespit edildi. Ayrıca, çoğunlukla GRE protokolünü kullanan, 33 ülkedeki işletme ve kuruluşlara ait 171 şirket VPN sunucusu açığa çıkarıldı; en çok etkilenenler Amerika Birleşik Devletleri, Çin ve Hong Kong oldu. Savunmasız cihazların %17’sinden fazlası, Free ISP’nin Fransa’daki, kimliği doğrulanmamış trafiği kabul eden ev yönlendiricileriydi.
Ayrıca araştırmacılar, güçlü Hizmet Reddi (DoS) saldırıları başlatmak için bu güvenlik açıklarından yararlanan “Ping-pong Amplification” ve “Tunneled-Temporal Lensing” gibi yeni saldırı yöntemlerini keşfettiler. Bu güvenlik açıkları aynı zamanda DNS sahtekarlığı, geleneksel amplifikasyon DoS saldırıları, yol dışı TCP ele geçirme, SYN taşmaları ve belirli WiFi saldırıları gibi mevcut saldırıların etkisini de artırabilir.
Araştırma, riskleri azaltmak ve birbirine bağlı dünyamızın güvenilirliğini sağlamak için bu protokollerde gelişmiş güvenlik önlemlerine duyulan ihtiyacın altını çiziyor. Düzenli güvenlik denetimleri, yazılım güncellemeleri ve sistem yöneticileri ile son kullanıcılar arasında farkındalığın arttırılması dahil olmak üzere proaktif önlemler, savunmasız cihazların belirlenmesi ve yamalanması açısından da önemlidir.
İLGİLİ KONULAR
- Milyonlarca web sitesi CDN’leri kullanarak CPDoS saldırısı riskiyle karşı karşıya
- Gizli Taramalar ve E-posta Takibi için Kullanılan DNS Tüneli
- GoogleUserContent CDN, Kötü Amaçlı Yazılım Bulaşmış Görselleri Barındırıyor
- Sahte GlobalProtect VPN İndirmeleri WikiLoader Kötü Amaçlı Yazılımını Yayıyor
- Milyonlarca E-posta Sunucusu Eksik TLS Şifrelemesi Nedeniyle Açığa Çıktı