Kundi la watafiti kutoka vyuo vikuu vya Kanada na Marekani lilitengeneza mbinu ya mashambulizi ya Port Shadow ambayo hubadilisha majedwali ya utafsiri wa anwani kwenye seva ya VPN ili kulazimisha jibu la ombi kutumwa kwa mtumiaji mwingine aliyeunganishwa na seva hiyo hiyo ya VPN. Njia hii inaweza kutumika kukatiza au kuelekeza trafiki iliyosimbwa kwa njia fiche, kufanya uchanganuzi wa mlango, na kuondoa utambulisho wa watumiaji wa VPN. Mfano unaonyeshwa wa jinsi njia hiyo inavyoweza kutumika kuelekeza maombi ya DNS kutoka kwa mtumiaji anayefanya kazi kupitia seva ya VPN ambayo mshambuliaji anaweza kuunganisha kama mteja, hadi kwa mwenyeji wa mshambuliaji.
Ili kutekeleza shambulio, mshambuliaji lazima aweze kuungana na mmoja VPN- seva ya mwathiriwa, ambayo inawezekana, kwa mfano, wakati wa kutumia waendeshaji wa kawaida wa VPN na huduma za umma za VPN zinazotoa ufikiaji kwa kila mtu. Udhaifu huu huathiri seva za VPN zinazotumia tafsiri ya anwani ya mtandao (NAT) kupanga ufikiaji wa mteja kwa rasilimali za nje, huku kupokea trafiki kutoka kwa wateja na kutuma maombi kwenye tovuti za nje kunahitaji seva Anwani hiyo hiyo ya IP lazima itumike.
Shambulio hilo linategemea ukweli kwamba kwa kutuma maombi yaliyoundwa maalum, mshambuliaji aliyeunganishwa na seva moja ya VPN na kutumia NAT iliyoshirikiwa anaweza kupotosha yaliyomo kwenye jedwali la tafsiri ya anwani, na kusababisha pakiti zilizoelekezwa kwa mtumiaji mmoja kupelekwa kwa mwingine. Katika jedwali la tafsiri ya anwani, anwani ya ndani ya IP inayohusiana na ombi fulani huamuliwa kulingana na lango la mtandao chanzo linalotumika kutuma ombi. Kwa kutuma pakiti maalum za SYN na ACK na wakati huo huo kudhibiti muunganisho wa mteja kwenye seva ya VPN na seva ya nje chini ya udhibiti wa mshambuliaji, mshambuliaji anaweza kusababisha mgongano katika jedwali la NAT na kuongeza ingizo lenye nambari sawa ya lango chanzo, lakini linalohusiana na anwani yake ya ndani. Hii itasababisha majibu ya ombi la mshambuliaji kurudishwa kwenye anwani ya mshambuliaji.
Utafiti huo ulipima mifumo ya tafsiri ya anwani Linux na FreeBSD pamoja na VPN OpenVPN, Fungua Unganisha na WireGuardJukwaa la FreeBSD halikuwa na kinga ya kuomba mashambulizi ya uelekezaji yaliyofanywa na watumiaji wengine waliounganishwa na VPN hiyo hiyo. Majedwali ya NAT yaliingizwa kwa ufanisi tu kupitia shambulio la ATIP (Karibu-na-Katika-Njia), ambalo humruhusu mshambuliaji kuingiza trafiki kati ya mtumiaji na seva ya VPN (kwa mfano, mtumiaji anapounganisha kwenye mtandao wa Wi-Fi unaodhibitiwa na mshambuliaji) au kati ya seva ya VPN na tovuti lengwa. NAT ya FreeBSD pia iliathiriwa na shambulio linalomruhusu mtu kubaini kama mtumiaji ameunganishwa kwenye tovuti maalum (Muunganisho wa Muunganisho).
Kwa upande wa Linux, mfumo mdogo wa Netfilter ulikuwa katika hatari ya kushambuliwa kwa kubadilisha maingizo kwenye jedwali la tafsiri ya anwani, kuruhusu pakiti zinazoingia kuelekezwa kwa mtumiaji mwingine, pakiti kutumwa nje ya chaneli ya VPN iliyosimbwa kwa njia fiche (Decapsulation), au milango ya mtandao iliyo wazi kubainishwa kwa upande wa mteja.
Ili kuzuia shambulio hilo, watoa huduma za VPN wanashauriwa kutumia mbinu za kutosha za kupanga nambari za milango chanzo kwa nasibu katika NAT, kupunguza idadi ya miunganisho inayoruhusiwa kwa wakati mmoja kwenye seva ya VPN kutoka kwa mtumiaji mmoja, na kuzuia uwezo wa mteja kuchagua mlango wa mtandao unaokubali maombi upande wa seva ya VPN.
Kulingana na mwakilishi wa Proton AG, shambulio hilo haliathiri huduma za VPN zinazotumia anwani tofauti za IP kwa maombi yanayoingia na yanayotoka. Zaidi ya hayo, kuna mashaka kuhusu utumikaji wa shambulio hilo kwa huduma za VPN za ulimwengu halisi, kwani mashambulizi yaliyofanikiwa yameonyeshwa tu katika majaribio ya maabara na yanahitaji masharti fulani kutimizwa kwenye seva ya VPN na mteja lengwa. Zaidi ya hayo, shambulio hilo ni muhimu tu kwa kudhibiti maombi ambayo hayajasimbwa kwa njia fiche, kama vile maswali ya DNS, huku matumizi ya TLS na HTTPS katika kiwango cha programu yakidhoofisha uelekezaji wa trafiki bila maana.
Mashambulizi ya ubadilishanaji wa tafsiri ya anwani (AT) hayatumiki tu kwa VPN bali pia kwa mitandao isiyotumia waya inayotumia NAT kwenye sehemu ya kufikia ili kuunganisha watumiaji na rasilimali za nje. Mwezi uliopita, matokeo ya utafiti yalichapishwa kuhusu uwezekano wa shambulio kama hilo kukatiza miunganisho ya TCP ya watumiaji wengine wa mtandao usiotumia waya. Mbinu ya mashambulizi iligundulika kuwa inatumika kwa sehemu 24 kati ya 33 za kufikia zisizotumia waya zilizojaribiwa.
Shambulio lililopendekezwa kwa Wi-Fi liligeuka kuwa rahisi zaidi kuliko mbinu iliyotajwa hapo juu ya VPN, kwani uboreshaji huzuia sehemu nyingi za ufikiaji kuthibitisha nambari za mfuatano wa pakiti za TCP. Hatimaye, shambulio hilo lilihitaji kutuma pakiti bandia ya RST ili kufuta ingizo la jedwali la tafsiri ya anwani, na kisha kupata jibu kutoka kwa mwenyeji wa mshambuliaji ili kubaini nambari za mfuatano (SEQ) na uthibitisho (ACK) zinazohitajika ili kukatiza muunganisho wa TCP.
Chanzo: opennet.ru
