TunnelVision: enrutamiento de tráfico fuera de una conexión VPN cifrada

Leviathan Security ha identificado un nuevo ataque denominado TunnelVision que puede dirigir el tráfico fuera del túnel de cifrado de una VPN, permitiendo a los atacantes espiar el tráfico no cifrado mientras mantienen la apariencia de una conexión VPN segura.

Post de Leviathan Security

Este método se basa en el abuso de la opción 121 del Protocolo de Configuración Dinámica de Host (DHCP), que posibilita la configuración de rutas estáticas sin clases.

Los atacantes configuran un servidor DHCP fraudulento que altera las tablas de enrutamiento, desviando el tráfico de la VPN hacia la red local o hacia una puerta de enlace maliciosa, sin pasar por el túnel VPN cifrado. La raíz del problema reside en la ausencia de un mecanismo de autenticación de DHCP para los mensajes entrantes que podrían manipular las rutas, y se le ha asignado el identificador de vulnerabilidad CVE-2024-3661, CVSSv3 7.6 según CISA.

Los investigadores han divulgado públicamente este problema junto con un exploit PoC para generar conciencia y presionar a los proveedores de VPN para que implementen medidas de protección.

=======================
 CVE ID: CVE-2024-3661 
=======================

🔍 Fetching vulnerability information:

DHCP can add routes to a client’s routing table via the classless static route option (121). 
VPN-based security solutions that rely on routes to redirect traffic can be forced to leak 
traffic over the physical interface. An attacker on the same local network can read, disrupt, 
or possibly modify network traffic that was expected to be protected by the VPN.

Published:     2024-05-06
Base Score:    7.6
Base Severity: HIGH
Vector String: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

♾️ Fetching Exploit Prediction Score (EPSS):

EPSS Score:    0.05% Probability of exploitation.

🛡️ Fetching CISA KEV Catalog:

CISA KEV Listing: No

💣 Fetching GitHub exploits / PoC: 

No exploit data found.

💥 Fetching VulnCheck exploits / PoC: 

❌ API key for VulnCheck is not configured correctly.
No exploit data found.

👾 Fetching ExploitDB exploits / PoC: 

No exploit data found.

📚 Further references: 

URL: https://arstechnica.com/security/2024/05/novel-attack-against-virtually-all-vpn-apps-neuters-their-entire-purpose/
URL: https://datatracker.ietf.org/doc/html/rfc2131#section-7
URL: https://datatracker.ietf.org/doc/html/rfc3442#section-7
URL: https://issuetracker.google.com/issues/263721377
URL: https://krebsonsecurity.com/2024/05/why-your-vpn-may-not-be-as-secure-as-it-claims/
URL: https://lowendtalk.com/discussion/188857/a-rogue-dhcp-server-within-your-network-can-and-will-hijack-your-vpn-traffic
URL: https://mullvad.net/en/blog/evaluating-the-impact-of-tunnelvision
URL: https://news.ycombinator.com/item?id=40279632
URL: https://news.ycombinator.com/item?id=40284111
URL: https://tunnelvisionbug.com/
URL: https://www.agwa.name/blog/post/hardening_openvpn_for_def_con
URL: https://www.leviathansecurity.com/research/tunnelvision
URL: https://www.theregister.com/2024/05/07/vpn_tunnelvision_dhcp/
URL: https://www.zscaler.com/blogs/security-research/cve-2024-3661-k-tunnelvision-exposes-vpn-bypass-vulnerability