.
Algumas técnicas conhecidas coletivamente como TunnelCrack podem, nas circunstâncias certas, ser usadas por bisbilhoteiros para forçar o tráfego de rede das vítimas a sair de suas VPNs criptografadas, foi demonstrado esta semana.
Uma equipe de acadêmicos – Nian Xue, da Universidade de Nova York, Yashaswi Malla, Zihang Xia e Christina Popper, da Universidade de Nova York em Abu Dhabi, e Mathy Vanhoef, da imec-DistriNet e KU Leuven – explicaram na terça-feira como os ataques funcionam, divulgaram provas explorações de conceito e considerou que “todo produto VPN é vulnerável em pelo menos um dispositivo”.
Seu artigo aceito pela Usenix em coautoria [PDF] tem todos os detalhes. Os pesquisadores disseram que testaram mais de 60 clientes VPN e descobriram que “todos os aplicativos VPN” no iOS são vulneráveis. O Android parece ser o mais seguro do grupo.
Essencialmente, disseram-nos, essas falhas podem ser exploradas para rotear o tráfego de rede da vítima para fora de seu túnel VPN seguro, permitindo que esse tráfego seja observado até certo ponto por bisbilhoteiros na rede local, pelo menos. A exploração requer uma mistura de habilidade e coerção, além de vítimas que usam clientes ou configurações vulneráveis.
E lembre-se, se você estiver criptografando conexões com segurança antes de serem enviadas pelo túnel VPN – como usar HTTPS para visitar um site ou SSH para gerenciar um host remoto – essas conexões devem permanecer seguras e criptografadas mesmo se redirecionadas por eles técnicas; qualquer coisa em texto simples será um jogo justo. Estamos assumindo aqui que suas conexões seguras podem resistir a ataques de descriptografia man-in-the-middle.
Aqui está o que os boffins escreveram em seu TunnelCrack local na rede Internet:
Os dois ataques são chamados LocalNet e ServerIP.
Para realizar um ataque LocalNet, um espião precisa criar uma rede Wi-Fi ou Ethernet e induzir a vítima a se conectar a ela – por exemplo, falsificando a rede sem fio de um café Starbucks. Quando a vítima se conecta à rede maliciosa, o invasor atribui um endereço IP público e uma sub-rede ao dispositivo da vítima.
Aqui está a pequena parte inteligente: digamos que o bisbilhoteiro queira interceptar sua conexão com o endereço IPv4 1.2.3.4. Eles atribuem o dispositivo da vítima, digamos, 1.2.3.10. Como disse a equipe de pesquisa, “porque a maioria das VPNs permite acesso direto à rede local durante o uso da VPN”, o que acontecerá é que a conexão da vítima para 1.2.3.4 irá diretamente para lá de 1.2.3.10, pela rede maliciosa, em vez do que através do túnel VPN, permitindo que seja observado pelo operador da rede.
É simples assim. Se você configurar seu cliente VPN para rotear conexões de rede local diretamente, poderá estar em risco. Verifique se há atualizações ou avisos de seu criador de aplicativos VPN.
Esta supervisão está sendo rastreada usando vários CVEs, por exemplo: CVE-2023-36672 no cliente macOS Clario VPN até a versão 5.9.1.1662; e CVE-2023-35838 no cliente WireGuard 0.5.3 no Windows.
O segundo ataque, apelidado de ServerIP, é um pouco mais envolvente e é novamente rastreado por vários CVEs, por exemplo: CVE-2023-36673 no macOS Avira Phantom VPN até a versão 2.23.1; e CVE-2023-36671 no cliente Clario VPN como acima.
Aqui está a explicação sobre como isso funciona da equipe:
A equipe publicou instruções sobre como testar VPNs manualmente em seus Repositório GitHub.
Vendedores respondem
Strong The One entrou em contato com vários dos fornecedores citados no jornal, e suas respostas às falhas e pesquisas de VPN foram confusas.
A Apple não respondeu Strong The One‘s inquéritos. A Microsoft também não comentou as alegações dos pesquisadores de que a VPN integrada do Windows é vulnerável; não está planejando lançar nenhuma correção.
Ivanti, por sua vez, nos disse: “Estamos cientes da pesquisa. Depois de investigar os vetores de ataque, determinamos que a exposição de um cliente depende da configuração de seu dispositivo Ivanti Connect Secure.
“Já tínhamos configurações específicas incorporadas ao dispositivo que bloqueariam esses ataques. Fornecemos informações técnicas aos nossos clientes com etapas descritas para garantir que seus dispositivos sejam configurados corretamente.”
A Cisco emitiu na terça-feira um consultivo, e avisou que os ataques TunnelCrack afetam o Cisco Secure Client AnyConnect VPN para iOS independentemente da configuração do cliente. Eles também afetam o Cisco AnyConnect Secure Mobility Client para Linux, macOS e Windows, bem como o Cisco Secure Client para Linux, macOS e Windows — se forem implantados com uma configuração afetada.
Nenhum dos ataques afeta o Cisco Secure Client AnyConnect para Android.
Um porta-voz da Check Point disse que o negócio acredita, “com base em nossos exames mais recentes, que esses relatórios não têm um impacto real nos clientes Check Point VPN”.
“Dadas as configurações padrão e fatores adicionais, essa vulnerabilidade é complicada de explorar e de forma alguma cria um risco para a divulgação de dados corporativos, recursos ou credenciais de funcionários ao usar a configuração padrão dos clientes Check Point VPN”, continuou o porta-voz, acrescentando que o o fornecedor continuará monitorando a situação e criando proteções conforme necessário.
Mullvad emitiu um resposta à pesquisa TunnelCrack na quarta-feira, e disse que sua VPN “não foi afetada”.
“No Windows, Linux, macOS e Android, não somos vulneráveis ao ataque LocalNet. Nunca vazamos tráfego para IPs públicos fora do túnel VPN. No entanto, no iOS, somos afetados por esse vetor de ataque”, segundo os desenvolvedores.
“A única solução que conhecemos contra esses vazamentos no iOS é habilitar um sinalizador chamado includeAllNetworks na terminologia de VPN do iOS”, continuou Mullvad. “Estamos cientes dessa bandeira há muito tempo e queríamos ativá-la por tanto tempo.”
A questão: wireguard-go, que é a implementação do túnel que Mullvad e outros WireGuardName aplicativos no uso do iOS, não é compatível com includeAllNetworks.
Na verdade, estamos trabalhando nisso há algum tempo. Mas é uma tarefa muito grande e ainda não chegamos lá
“No momento, estamos substituindo o wireguard-go por algo que nos permite habilitar esse recurso de segurança”, continuou Mullvad. “Na verdade, estamos trabalhando nisso há algum tempo. Mas é uma tarefa muito grande e ainda não chegamos lá.”
O ExpressVPN nos disse que verificou que isso afetou apenas o aplicativo iOS e implantou uma correção há cerca de um mês. “Incentivamos os usuários a atualizar para a versão mais recente do aplicativo ExpressVPN para iOS”, disse o porta-voz.
Além disso, quando o aplicativo iOS detecta qualquer atividade potencial do TunnelCrack, ele exibe uma notificação alertando o usuário sobre o risco e recomendando que ele desligue o acesso à rede local.
“Os usuários que desejam se proteger proativamente desse risco também podem fazê-lo em suas configurações de proteção de rede, ativando ‘bloquear a Internet quando a conexão VPN for interrompida’ e desativando ‘permitir acesso a dispositivos na rede local’”, disse o porta-voz da Express VPN. disse.
A Nord Security disse que o TunnelCrack afeta seus clientes macOS e iOS VPN. Ele também observou que os vazamentos de VPN só podem acontecer quando os roteadores usam endereços IP não RFC1918, “que, embora raros, são um problema em todo o setor”.
Eles disseram que também tomaram medidas para atenuar o problema, incluindo a eliminação do “suporte ao protocolo IKEv2/IPSec em nossos aplicativos, descontinuado o suporte para versões do iOS anteriores a 14.2 e implementado o recurso ‘Invisibilidade na LAN’ para usuários macOS, protegendo com sucesso sua VPN conexões”, disse o porta-voz.
“Além disso, serão solicitados avisos para todos os usuários conectados a redes inseguras, aconselhando a desconexão imediata e fornecendo etapas adicionais sobre como se proteger”, acrescentaram.
A Nord Security disse que apreciou e agradeceu aos pesquisadores que encontraram o TunnelCrack e “também esperamos que a Apple priorize a resolução rápida de bugs, que agora impedem os clientes iOS VPN da implementação robusta de recursos que ajudariam os usuários a mitigar esses riscos de segurança”.
Mais uma vez, gostaríamos de salientar que perguntamos à Apple se ela planeja abordar o TunnelCrack e ainda não obtivemos resposta. Atualizaremos esta história se e quando o fizermos. ®
.
