引言
最近,渗透测试公司Leviathan Security Group警告称,一种新的VPN绕过技术正在被恶意攻击者利用,这种技术可以通过强制流量脱离VPN隧道来监控受害者的网络流量。本文将深入探讨这一技术,以及它对VPN用户的潜在影响。
什么是TunnelVision?
TunnelVision是一种利用DHCP(动态主机配置协议)内置功能的攻击技术。它通过操控路由表——计算机用来决定哪些网络流量应该通过的规则集——来实现其目的。攻击者可以在不妥协DHCP服务器的情况下使用这一技术。
漏洞利用
该技术利用了CVE-2024-3661,一个DHCP设计缺陷,其中诸如无类静态路由(选项121)等消息未经过认证,导致其易受到操控。根据NIST的建议,攻击者能够发送DHCP消息,操控路由以重定向VPN流量,从而允许攻击者读取、干扰或可能修改原本应该受到VPN保护的网络流量。
攻击的实施方式
如何进行攻击?
为进行攻击,攻击者只需要与受害者在同一网络中。Leviathan解释说,成功的“去隐蔽”依赖于目标主机接受来自攻击者控制的DHCP服务器的DHCP租约,并且目标主机的DHCP客户端实施选项121。
攻击者如何成为DHCP服务器?
根据Leviathan的说法,攻击者可以通过对真实DHCP服务器实施饥饿攻击、抢先响应广播请求以及进行ARP欺骗,从而成为受害者的DHCP服务器。这些手段可以拦截客户端与真实DHCP服务器之间的流量。
攻击过程
Leviathan解释道:“我们的技术是在与目标VPN用户相同的网络上运行一个DHCP服务器,并将我们的DHCP配置设置为使用自身作为网关。当流量经过我们的网关时,我们使用DHCP服务器上的流量转发规则将流量传递到合法网关,同时监控它。”
安全隐患
尽管攻击正在进行中,受害者仍然会显示为连接到VPN。这一安全缺陷并不依赖于VPN提供商或实现,因此基于IP路由的绝大多数VPN系统被认为都易受TunnelVision的攻击。
漏洞历史
Leviathan认为,自2002年选项121引入以来,DHCP中就存在这一漏洞,攻击技术“可能早已被发现并在现实中使用”。
可能的缓解措施
为了不影响VPN用户的隐私,VPN提供商可以在支持的操作系统上实施网络命名空间(该功能在Linux系统上可用),从而将接口和路由表与本地网络的控制隔离开。
结论
由于这一漏洞的广泛影响,Leviathan已将其报告给电子前沿基金会(EFF)和美国网络安全局CISA,并在公开披露前帮助通知了50多家供应商。VPN用户应对此保持警惕,确保其使用的VPN服务具备足够的安全性。
希望这篇文章能够帮助您更好地理解TunnelVision技术及其对VPN用户的影响。使用VPN时,请务必选择一个安全性高的VPN产品,以保护您的隐私和数据安全。
