Araştırmacılar, şu şekilde adlandırılan bir Sanal Özel Ağ (VPN) bypass tekniğini ayrıntılı olarak açıkladılar: Tünel Görüşü Bu, tehdit aktörlerinin yalnızca aynı yerel ağda bulunarak kurbanın ağ trafiğini gözetlemesine olanak tanır.
“Gizlemeyi kaldırma” yöntemine CVE tanımlayıcısı atandı CVE-2024-3661 (CVSS puanı: 7,6). Bir DHCP istemcisi uygulayan tüm işletim sistemlerini etkiler ve DHCP seçenek 121 rotalarını destekler.
TunnelVision özünde, VPN kullanıcısının yönlendirme tablosunda bir rota ayarlamak için sınıfsız statik rota seçeneğini (121) kullanan saldırgan tarafından yapılandırılmış bir DHCP sunucusu aracılığıyla trafiğin şifreleme olmadan bir VPN üzerinden yönlendirilmesini içerir.
Bu aynı zamanda DHCP protokolünün tasarımı gereği bu tür seçenek mesajlarının kimliğini doğrulamaması ve dolayısıyla bunların manipülasyona maruz kalmasından da kaynaklanmaktadır.
DHCP, ağa ve kaynaklarına erişmek için otomatik olarak bir İnternet Protokolü (IP) ana bilgisayarına IP adresini ve alt ağ maskesi ve varsayılan ağ geçidi gibi diğer ilgili yapılandırma bilgilerini sağlayan bir istemci/sunucu protokolüdür.
Ayrıca, bir IP adresi havuzunu koruyan ve ağda başlatıldığında herhangi bir DHCP etkin istemciye bir adres kiralayan bir sunucu aracılığıyla IP adreslerinin güvenilir bir şekilde yapılandırılmasına yardımcı olur.
Bu IP adresleri statik (yani kalıcı olarak atanmış) yerine dinamik (yani kiralık) olduğundan, artık kullanılmayan adresler yeniden tahsis edilmek üzere otomatik olarak havuza döndürülür.
Özetle bu güvenlik açığı, DHCP mesajları gönderme yeteneğine sahip bir saldırganın VPN trafiğini yeniden yönlendirmek için yolları değiştirmesine ve böylece VPN tarafından korunması beklenen ağ trafiğini okumasına, kesintiye uğratmasına veya muhtemelen değiştirmesine olanak tanır. .
Leviathan Güvenlik Grubu araştırmacıları Dani Cronce ve Lizzie Moratti, “Bu teknik, VPN teknolojilerinden veya temel protokollerden yararlanmaya bağlı olmadığından, VPN sağlayıcısından veya uygulamasından tamamen bağımsız olarak çalışır” dedi.
“Tekniğimiz, hedeflenen VPN kullanıcısıyla aynı ağ üzerinde bir DHCP sunucusu çalıştırmak ve ayrıca DHCP yapılandırmamızı kendisini bir ağ geçidi olarak kullanacak şekilde ayarlamaktır. Trafik ağ geçidimize çarptığında, geçiş yapmak için DHCP sunucusundaki trafik yönlendirme kurallarını kullanırız. biz onu gözetlerken trafiği yasal bir ağ geçidine aktarıyoruz.”
Başka bir deyişle, TunnelVision, bir VPN kullanıcısını, bağlantılarının güvenli olduğuna ve şifreli bir tünel üzerinden yönlendirildiğine inandırarak kandırır; oysa gerçekte potansiyel olarak incelenebilmesi için saldırganın sunucusuna yönlendirilmiştir.
Bununla birlikte, VPN trafiğinin perdesini başarıyla kaldırmak için, hedeflenen ana bilgisayarın DHCP istemcisinin DHCP seçeneği 121’i uygulaması ve saldırganın kontrol ettiği sunucudan bir DHCP kiralamasını kabul etmesi gerekir.
Saldırı aynı zamanda güvenilmeyen bir Wi-Fi ağına veya hileli bir İSS’ye bağlanırken korumalı bir VPN tüneli dışındaki trafiği sızdırmak üzere tasarlanan ve ortadaki düşman (AitM) saldırılarına neden olan TunnelCrack’e de benzer.
Sorun, DHCP seçenek 121’i desteklemediğinden Android haricinde Windows, Linux, macOS ve iOS gibi tüm önemli işletim sistemlerini etkilemektedir. Ayrıca, ana bilgisayarın trafiğini güvence altına almak için yalnızca yönlendirme kurallarına dayanan VPN araçlarını da etkilemektedir.
Mullvad, o zamandan beri yazılımının masaüstü sürümlerinin, VPN tüneli dışındaki genel IP’lere giden trafiği engellemek için güvenlik duvarı kurallarına sahip olduğunu doğruladı, ancak iOS sürümünün TunnelVision’a karşı savunmasız olduğunu da kabul etti.
Ancak İsveçli şirketin “bir süredir” üzerinde çalıştığını söylediği girişimin karmaşıklığı nedeniyle henüz entegre edilip bir düzeltme gönderilmedi.
Zscaler araştırmacıları, bunu bir yan kanal oluşturmak için DHCP açlık saldırısı kullanan bir teknik olarak tanımlayarak, “TunnelVision güvenlik açığı (CVE-2024-3661), saldırganların VPN kapsüllemesini atlaması ve trafiği VPN tüneli dışına yönlendirmesi için bir yöntemi açığa çıkarıyor” dedi. .
“Bu teknik, trafiği bir VPN aracılığıyla şifrelemeden yönlendirmek için DHCP seçeneği 121’in kullanılmasını ve sonuçta trafiğin saldırgan tarafından oluşturulan bir yan kanal aracılığıyla internete gönderilmesini içerir.”
TunnelVision’ı azaltmak için kuruluşların anahtarlara DHCP gözetleme, ARP korumaları ve bağlantı noktası güvenliği uygulamaları önerilir. Davranışı düzeltmek için Linux’ta ağ ad alanlarının uygulanması da önerilir.