Kaedah serangan TunnelVision telah didedahkan secara terbuka. Memandangkan akses kepada rangkaian tempatan atau kawalan ke atas rangkaian wayarles, ia membenarkan sasaran untuk mengubah hala trafik mangsa ke hosnya sendiri, memintas VPN (daripada menghantarnya melalui VPN, trafik akan dihantar dalam teks jelas, tanpa terowong, ke sistem penyerang). Kerentanan ini menjejaskan mana-mana klien VPN yang tidak menggunakan ruang nama rangkaian terpencil apabila menghalakan trafik melalui terowong atau yang tidak mengkonfigurasi peraturan penapis paket untuk menghalang trafik VPN daripada dihalakan melalui antara muka rangkaian fizikal sedia ada.
Serangan ini melibatkan pelancaran pelayan DHCP dan menggunakannya untuk menghantar maklumat penghalaan kepada klien. Secara khususnya, penyerang boleh menggunakan pilihan DHCP 121 (RFC-3442, yang diguna pakai pada tahun 2002), yang disediakan untuk menghantar maklumat laluan statik, untuk mengubah suai jadual penghalaan pada mesin mangsa dan mengubah laluan trafik. VPNPengalihan semula dicapai dengan menyediakan satu siri laluan untuk subnet dengan awalan /1, yang mempunyai keutamaan yang lebih tinggi daripada laluan lalai dengan awalan /0 (0.0.0.0/0). Sehubungan itu, trafik akan dihalakan melalui antara muka rangkaian fizikal ke hos penyerang pada rangkaian tempatan dan bukannya antara muka rangkaian maya yang disediakan untuk VPN.
Serangan ini boleh dilakukan pada mana-mana sistem pengendalian yang menyokong 121 pilihan DHCP, termasuk Linux, Windows, iOS dan macOS, tanpa mengira protokol VPN yang digunakan (Wireguard, OpenVPN, IPsec) dan suit sifer. Platform Android Ia tidak mudah diserang kerana ia tidak memproses pilihan DHCP 121. Walaupun serangan membenarkan akses kepada trafik, ia tidak membenarkan pemintasan sambungan dan penentuan kandungan yang dihantar menggunakan protokol lapisan aplikasi selamat seperti TLS dan SSH. Contohnya, penyerang tidak dapat menentukan kandungan permintaan HTTPS, tetapi boleh menentukan pelayan yang menghantarnya.
Untuk melindungi daripada serangan, anda boleh melarang penghantaran paket yang dialamatkan ke antara muka VPN melalui antara muka rangkaian lain pada peringkat penapis paket; menyekat paket DHCP dengan pilihan 121; menggunakan VPN di dalam mesin maya (atau bekas) berasingan yang diasingkan daripada rangkaian luaran atau menggunakan mod konfigurasi terowong khas yang menggunakan ruang nama dalam Linux (ruang nama rangkaian). Satu set skrip telah diterbitkan untuk bereksperimen dengan serangan tersebut.
Perlu diingatkan bahawa idea pengalihan penghalaan setempat bukanlah sesuatu yang baharu dan sebelum ini telah biasa digunakan dalam serangan yang menyasarkan spoofing pelayan DNS. Dalam serangan TunnelCrack yang serupa, yang mengalihkan trafik dengan menukar gerbang lalai, isu tersebut menjejaskan semua klien VPN iOS yang diuji, dengan 87.5% klien VPN terjejas. macOS, 66.7% untuk Windows, 35.7% untuk Linux dan 21.4% untuk AndroidKaedah ini juga telah disebut sebelum ini dalam konteks VPN dan DHCP; contohnya, ia merupakan subjek pembentangan di persidangan USENIX 2023 tahun lepas (kajian mendapati bahawa 64.6% daripada 195 klien VPN yang diuji terdedah kepada serangan).
Sebelum ini, adalah dicadangkan untuk menggunakan kayu USB yang direka khas untuk menyuntik laluan, mensimulasikan penyesuai rangkaian yang, apabila disambungkan ke komputer melalui DHCP, mengisytiharkan dirinya sebagai pintu masuk. Tambahan pula, jika get laluan dikawal (contohnya, apabila mangsa menyambung ke rangkaian wayarles dikawal penyerang), teknik telah dibangunkan untuk menyuntik paket ke dalam terowong, mentafsirkannya sebagai antara muka rangkaian VPN.
Aliran data apabila menggunakan VPN:
Aliran data selepas serangan:
Sumber: opennet.ru
