Do pozornosti verejnosti sa dostala metóda útoku TunnelVision, ktorá umožňuje, ak máte prístup k lokálnej sieti alebo máte kontrolu nad bezdrôtovou sieťou, presmerovať prevádzku obete na vášho hostiteľa a obísť tak VPN (namiesto odosielania cez VPN, prevádzka bude odoslaná ako čistý text bez tunelovania do systému útočníka). Problém sa týka všetkých klientov VPN, ktorí nepoužívajú izolované priestory názvov siete pri smerovaní prevádzky do tunela alebo nenastavujú pravidlá filtrovania paketov pri nastavovaní tunela, ktoré zakazujú smerovanie prevádzky VPN cez existujúce fyzické sieťové rozhrania.
Útok zahŕňa spustenie DHCP servera a jeho použitie na odosielanie smerovacích informácií klientovi. Konkrétne môže útočník použiť DHCP parameter 121 (RFC-3442, prijatý v roku 2002), ktorý slúži na prenos statických smerovacích informácií, na úpravu smerovacej tabuľky na počítači obete a presmerovanie prevádzky. VPNPresmerovanie sa dosiahne nastavením série trás pre podsiete s predponou /1, ktoré majú vyššiu prioritu ako predvolená trasa s predponou /0 (0.0.0.0/0). Prevádzka bude preto smerovaná cez fyzické sieťové rozhranie k hostiteľovi útočníka v lokálnej sieti namiesto virtuálneho sieťového rozhrania nastaveného pre VPN.
Útok je možné vykonať na akomkoľvek operačnom systéme, ktorý podporuje 121 DHCP možností, vrátane Linux, Windows, iOS a macOS, bez ohľadu na použitý VPN protokol (Wireguard, OpenVPN, IPsec) a šifrovacia sada. Platforma Android Nie je náchylný na útok, pretože nespracováva DHCP option 121. Hoci útok umožňuje prístup k prevádzke, neumožňuje zachytávanie pripojení a určovanie obsahu prenášaného pomocou zabezpečených protokolov aplikačnej vrstvy, ako sú TLS a SSH. Útočník napríklad nemôže určiť obsah požiadaviek HTTPS, ale môže určiť, na ktoré servery sú odoslané.
Na ochranu pred útokom môžete na úrovni filtra paketov zakázať odosielanie paketov adresovaných rozhraniu VPN cez iné sieťové rozhrania; blokovať pakety DHCP pomocou možnosti 121; používať VPN v rámci samostatného virtuálneho počítača (alebo kontajnera) izolovaného od externej siete alebo použiť špeciálne režimy konfigurácie tunela, ktoré používajú menné priestory v Linux (sieťový menný priestor). Na experimentovanie s útokom bola publikovaná sada skriptov.
Stojí za zmienku, že myšlienka lokálneho presmerovania smerovania nie je nová a v minulosti sa bežne používala pri útokoch zameraných na spoofing DNS serverov. Pri podobnom útoku TunnelCrack, ktorý presmeroval prevádzku zmenou predvolenej brány, problém ovplyvnil všetkých testovaných klientov VPN pre iOS, pričom postihnutých bolo 87.5 % klientov VPN. macOS, 66.7 % pre Windows, 35.7 % pre Linux a 21.4 % pre AndroidTáto metóda bola už predtým spomenutá v kontexte VPN a DHCP; napríklad bola predmetom prezentácie na minuloročnej konferencii USENIX 2023 (štúdia zistila, že 64.6 % zo 195 testovaných VPN klientov bolo zraniteľných voči útoku).
Na náhradu trás sa predtým tiež navrhovalo použiť špeciálne navrhnutý USB kľúč, ktorý simuluje činnosť sieťového adaptéra, ktorý sa po pripojení k počítaču pomocou DHCP deklaruje ako brána. Okrem toho, keď existuje kontrola nad bránou (napríklad, keď sa obeť pripojí k bezdrôtovej sieti kontrolovanej útočníkom), bola vyvinutá technika na vstrekovanie paketov do tunela, ktoré sú vnímané v kontexte sieťového rozhrania VPN.
Dátové toky pri používaní VPN:
Dátové toky po útoku:
Zdroj: opennet.ru
