‘TunnelVision’ Saldırısı Neredeyse Tüm VPN’leri Casusluğa Karşı Savunmasız Bırakıyor

Araştırmacılar, neredeyse tüm sanal özel ağ uygulamalarına karşı, trafiğin bir kısmını veya tamamını, trafiği gözetleme veya kurcalamaya karşı korumak için tasarlanmış şifreli tünelin dışına gönderip almaya zorlayan bir saldırı tasarladılar.

TunnelVision, araştırmacıların saldırılarına verdiği adla, VPN’lerin tüm amacını ve satış noktasını büyük ölçüde boşa çıkarıyor; bu, gelen ve giden İnternet trafiğini şifrelenmiş bir tünelde kapsüllemek ve kullanıcının IP adresini gizlemek anlamına geliyor. Araştırmacılar bunun, düşmanca bir ağa bağlandıklarında tüm VPN uygulamalarını etkilediğine ve kullanıcının VPN’inin Linux veya Android’de çalışması dışında bu tür saldırıları önlemenin hiçbir yolu olmadığına inanıyor. Ayrıca saldırı tekniklerinin 2002’den bu yana mümkün olabileceğini ve o zamandan bu yana vahşi doğada keşfedilip kullanılmış olabileceğini de söylediler.

VPN Trafiğini Okumak, Bırakmak veya Değiştirmek

Bir video gösterisinde, TunnelVision’ın etkisinin “kurbanın trafiğinin artık gizlenmesi ve doğrudan saldırgan üzerinden yönlendirilmesi” olduğu açıklandı. “Saldırgan sızdırılan trafiği okuyabilir, bırakabilir veya değiştirebilir ve kurban hem VPN hem de internet bağlantısını koruyabilir.”

Saldırı, yerel ağa bağlanmaya çalışan cihazlara IP adresi tahsis eden DHCP sunucusunu manipüle ederek çalışıyor. Seçenek 121 olarak bilinen bir ayar, DHCP sunucusunun, şifrelenmiş tüneli başlatan yerel bir IP adresi üzerinden VPN trafiği gönderen varsayılan yönlendirme kurallarını geçersiz kılmasına olanak tanır. Saldırı, VPN trafiğini DHCP sunucusu üzerinden yönlendirmek için seçenek 121’i kullanarak verileri DHCP sunucusunun kendisine yönlendirir. Leviathan Security’den araştırmacılar şunları açıkladı:

Tekniğimiz, hedeflenen VPN kullanıcısıyla aynı ağ üzerinde bir DHCP sunucusu çalıştırmak ve ayrıca DHCP yapılandırmamızı kendisini bir ağ geçidi olarak kullanacak şekilde ayarlamaktır. Trafik ağ geçidimize ulaştığında, biz onu gözetlerken trafiği meşru bir ağ geçidine geçirmek için DHCP sunucusundaki trafik yönlendirme kurallarını kullanırız.

VPN kullanıcısının yönlendirme tablosunda bir rota ayarlamak için DHCP seçeneği 121’i kullanıyoruz. Belirlediğimiz rota isteğe bağlıdır ve gerekirse birden fazla rota da ayarlayabiliriz. Çoğu VPN’in kullandığı /0 CIDR aralığından daha spesifik rotaları zorlayarak, VPN’nin oluşturduğu sanal arayüze yönelik rotalardan daha yüksek önceliğe sahip yönlendirme kuralları oluşturabiliriz. Çoğu VPN tarafından belirlenen 0.0.0.0/0 tüm trafik kuralını yeniden oluşturmak için birden fazla /1 rotası ayarlayabiliriz.

Bir rotanın itilmesi aynı zamanda ağ trafiğinin sanal ağ arayüzü yerine DHCP sunucusuyla aynı arayüz üzerinden gönderileceği anlamına da gelir. Bu, RFC’de açıkça belirtilmeyen, amaçlanan bir işlevselliktir. Bu nedenle, gönderdiğimiz rotalar hiçbir zaman VPN’in sanal arayüzü tarafından şifrelenmez, bunun yerine DHCP sunucusuyla konuşan ağ arayüzü tarafından iletilir. Bir saldırgan olarak, hangi IP adreslerinin tünel üzerinden geçeceğini ve hangi adreslerin DHCP sunucumuzla konuşan ağ arayüzü üzerinden geçeceğini seçebiliriz.

Artık trafiğimiz VPN’in şifreli tünelinin dışında iletiliyor. Bu teknik, VPN kullanıcısının ana bilgisayarının DHCP sunucumuzdan kira sözleşmesini yenilemesi gerektiğinde önceden kurulmuş bir VPN bağlantısına karşı da kullanılabilir. DHCP kiralamasında kısa bir kiralama süresi ayarlayarak bu senaryoyu yapay olarak oluşturabiliriz, böylece kullanıcı yönlendirme tablosunu daha sık günceller. Ek olarak, VPN kontrol kanalı hala sağlamdır çünkü iletişimi için zaten fiziksel arayüzü kullanmaktadır. Testlerimizde VPN her zaman bağlı olarak raporlamaya devam etti ve kapatma anahtarı hiçbir zaman VPN bağlantımızı kesmek için devreye girmedi.

Saldırı, hedefin bağlandığı ağ üzerinde idari kontrolü olan bir kişi tarafından en etkili şekilde gerçekleştirilebilir. Bu senaryoda, saldırgan DHCP sunucusunu seçenek 121’i kullanacak şekilde yapılandırır. Ayrıcalıksız bir kullanıcı olarak ağa bağlanabilen kişilerin kendi sahte DHCP sunucularını kurarak saldırıyı gerçekleştirmeleri de mümkündür.

Saldırı, trafiğin bir kısmının veya tamamının şifrelenmemiş tünelden yönlendirilmesine izin veriyor. Her iki durumda da VPN uygulaması tüm verilerin korumalı bağlantı üzerinden gönderildiğini bildirecektir. Bu tünelden yönlendirilen herhangi bir trafik VPN tarafından şifrelenmeyecek ve uzak kullanıcı tarafından görüntülenebilen internet IP adresi, VPN uygulaması tarafından belirlenen ağ yerine, VPN kullanıcısının bağlı olduğu ağa ait olacaktır.

İlginç bir şekilde, Android, VPN uygulamalarını saldırıya karşı tamamen koruyan tek işletim sistemidir çünkü seçenek 121’i uygulamamaktadır. Diğer tüm işletim sistemleri için tam bir düzeltme yoktur. Uygulamalar Linux’ta çalıştırıldığında etkileri en aza indiren bir ayar vardır, ancak bu durumda bile TunnelVision, hedef trafiğin anonimliğini kaldırmak ve hedefli hizmet reddi saldırıları gerçekleştirmek için kullanılabilecek bir yan kanaldan yararlanmak için kullanılabilir. Ağ güvenlik duvarları ayrıca fiziksel arayüze gelen ve giden trafiği engelleyecek şekilde de yapılandırılabilir. Bu çözüm iki nedenden dolayı sorunludur: (1) Güvenilmeyen bir ağa bağlanan bir VPN kullanıcısının güvenlik duvarını kontrol etme yeteneği yoktur ve (2) Linux azaltımıyla aynı yan kanalı açar.

En etkili düzeltmeler, VPN’i ağ bağdaştırıcısı köprülü modda olmayan bir sanal makinenin içinde çalıştırmak veya VPN’yi hücresel bir cihazın Wi-Fi ağı üzerinden internete bağlamaktır. Leviathan Güvenlik araştırmacıları Lizzie Moratti ve Dani Cronce’un araştırmasına buradan ulaşabilirsiniz.

Bu hikaye ilk olarak şu tarihte ortaya çıktı: Ars Technica.