Se dio a conocer al público el método de ataque TunnelVision, que permite, si tiene acceso a una red local o control sobre una red inalámbrica, redirigir el tráfico de la víctima a su host, evitando la VPN (en lugar de enviarlo a través de la VPN, el tráfico se enviará en texto claro sin hacer un túnel al sistema del atacante). El problema afecta a cualquier cliente VPN que no utilice espacios de nombres de red aislados al enrutar el tráfico al túnel o que no establezca reglas de filtrado de paquetes al configurar el túnel que prohíban enrutar el tráfico VPN a través de interfaces de red físicas existentes.
El ataque consiste en iniciar un servidor DHCP y usarlo para enviar información de enrutamiento a un cliente. En concreto, el atacante puede usar la opción DHCP 121 (RFC-3442, adoptada en 2002), disponible para transmitir información de ruta estática, para modificar la tabla de enrutamiento en el equipo de la víctima y redirigir el tráfico. VPNLa redirección se logra configurando una serie de rutas para subredes con el prefijo /1, que tienen mayor prioridad que la ruta predeterminada con el prefijo /0 (0.0.0.0/0). Por lo tanto, el tráfico se enrutará a través de la interfaz de red física al host del atacante en la red local, en lugar de a través de la interfaz de red virtual configurada para la VPN.
Атака может быть осуществлена в любых операционных системах, поддерживающих 121 опцию DHCP, включая Linux, Windows, iOS y macOS, независимо от используемого протокола VPN (Wireguard, OpenVPN, IPsec) и набора шифров. Платформа Android атаке не подвержена, так как не обрабатывает опцию 121 в DHCP. При этом атака позволяет получить доступ к трафику, но не даёт возможность вклиниться в соединения и определить содержимое, передаваемое с использованием защищённых протоколов уровня приложений, таких как TLS и SSH, например, атакующий не может определить содержимое запросов по HTTPS, но может понять к каким серверам они отправляются.
Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace). Для экспериментов с проведением атаки опубликован набор скриптов.
Можно отметить, что идея локального изменения маршрутизации не нова и ранее обычно использовалась в атаках, нацеленных на подмену DNS-сервера. В похожей атаке TunnelCrack, в которой перенаправление трафика осуществлялось через замену шлюза по умолчанию, проблема затрагивала все проверенные VPN-клиенты для iOS, в 87.5% VPN-клиентов для macOS, 66.7% для Windows, 35.7% для Linux y 21.4% para Android. В контексте VPN и DHCP метод также упоминался ранее, например, ему посвящён один из докладов на прошлогодней конференции USENIX 2023 (исследование показало, что 64.6% из 195 протестированных VPN-клиентов подвержены атаке).
Para sustituir rutas, anteriormente también se propuso utilizar una llave USB especialmente diseñada que simula el funcionamiento de un adaptador de red que, cuando se conecta a una computadora mediante DHCP, se declara como una puerta de enlace. Además, cuando hay control de puerta de enlace (por ejemplo, cuando una víctima se conecta a una red inalámbrica controlada por un atacante), se ha desarrollado una técnica para inyectar paquetes en el túnel que se perciben en el contexto de la interfaz de red VPN.
Flujos de datos al usar VPN:
Los datos fluyen después del ataque:
Fuente: opennet.ru
