CVE-2024-3661 Cenueshmëria

Studiuesit kanë zbuluar një metodë të quajtur TunnelVision, një teknikë e shmangies së Rrjetit Privat Virtual (VPN) që u mundëson aktorëve të kërcënimit të përgjojnë trafikun e rrjetit të viktimave që janë në të njëjtin rrjet lokal.

Kjo qasje e "zhveshjes" është identifikuar me identifikuesin CVE CVE-2024-3661. Ai prek të gjitha sistemet operative që përfshijnë një klient DHCP që mbështet rrugët e opsionit DHCP 121. TunnelVision në thelb ridrejton trafikun e pakriptuar përmes një VPN duke shfrytëzuar një server DHCP të kontrolluar nga sulmuesi, i cili përdor opsionin 121 të rrugës statike pa klasë për të modifikuar tabelën e rrugëtimit të përdoruesve të VPN. Protokolli DHCP, sipas dizajnit, nuk vërteton mesazhe të tilla opsionale, duke i ekspozuar ato ndaj manipulimit.

Roli i Protokollit DHCP

DHCP është një protokoll klient/server i krijuar për të caktuar automatikisht adresat e Protokollit të Internetit (IP) dhe detajet përkatëse të konfigurimit si maskat e nënrrjetit dhe portat e paracaktuara për hostet, duke u mundësuar atyre të lidhen me një rrjet dhe burimet e tij.

Ky protokoll lehtëson shpërndarjen e besueshme të adresave IP përmes një serveri që mban një grup adresash të disponueshme dhe ia cakton një të tillë çdo klienti të aktivizuar me DHCP pas fillimit të rrjetit.

Meqenëse këto adresa IP janë dinamike (të dhëna me qira) dhe jo statike (të caktuara përgjithmonë), adresat që nuk janë më në përdorim kthehen automatikisht në grup për ricaktim.

Dobësia lejon një sulmues me aftësinë për të dërguar mesazhe DHCP për të manipuluar rrugëtimin, duke ridrejtuar trafikun VPN. Ky shfrytëzim i lejon sulmuesit të shikojë, ndërpresë ose modifikojë potencialisht trafikun e rrjetit që pritej të ishte i sigurt nën VPN. Meqenëse kjo metodë funksionon në mënyrë të pavarur nga teknologjitë VPN ose protokollet themelore, ajo nuk ndikohet plotësisht nga ofruesi i VPN ose zbatimi i përdorur.

Dobësia CVE-2024-3661 mund të ndikojë në shumicën e sistemeve kryesore operative

Në thelb, TunnelVision i mashtron përdoruesit e VPN që të mendojnë se lidhjet e tyre janë të sigurta dhe të koduara përmes një tuneli, por i ridrejton te serveri i sulmuesit për inspektim të mundshëm. Për të ekspozuar me sukses trafikun VPN, klienti DHCP i hostit të synuar duhet të mbështesë opsionin 121 të DHCP dhe të pranojë një qira nga serveri i sulmuesit.

Ky sulm i ngjan TunnelCrack, i cili rrjedh trafikun nga një tunel i mbrojtur VPN kur lidhet me rrjete të pabesueshme Wi-Fi ose me ISP mashtrues, duke çuar në sulme të kundërshtarit në mes (AitM).

Çështja prek sistemet kryesore operative si Windows, Linux, macOS dhe iOS, por jo Android për shkak të mungesës së mbështetjes për opsionin 121 të DHCP. Veglat VPN që mbështeten vetëm në rregullat e rrugëtimit për të siguruar trafikun preken gjithashtu.