WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng nghiêm trọng “Port Fail” làm lộ địa chỉ IP người dùng VPN
Một lỗ hổng mới phát hiện ảnh hưởng tới tất cả các giao thức VPN và các hệ điều hành, có khả năng làm lộ địa chỉ IP thực của người dùng máy tính, bao gồm cả người sử dụng BitTorrent, tương đối dễ dàng.
Lỗ hổng được phát hiện bởi nhà cung cấp dịch vụ VPN Perfect Privacy. Hacker có thể sử dụng một thủ thuật trong cơ chế chuyển tiếp cổng (port) trên các dịch vụ:
“Nguy hiểm ở chỗ một người dùng VPN, khi kết nối vào máy chủ VPN của mình, sẽ sử dụng luồng mặc định cùng với địa chỉ IP thực, bởi đây là điều kiện bắt buộc để kết nối VPN có thể hoạt động được”, Perfect Privacy cho biết.
Port Fail ảnh hưởng đến tất cả giao thức VPN gồm:
“Port Fail” hoạt động thế nào?
Để lấy địa chỉ IP thành công, hacker cần sử dụng cùng một mạng VPN với nạn nhân và biết địa chỉ IP cuối cùng của VPN nạn nhân (hacker có thể lấy địa chỉ IP này bằng cách lừa nạn nhân truy cập một website do hắn quản lý).
Ví dụ, một kẻ tấn công cùng với cơ chế chuyển cổng được bật có thể theo dõi yêu cầu từ địa chỉ IP thực sự khi nạn nhân mở một tập tin ảnh.
Một tấn công tương tự có thể ảnh hưởng đến người dùng BitTorrent nhưng trong trường hợp này thì không cần hacker phải điều hướng nạn nhân đến website của chúng.
Trong trường hợp này, chỉ cần cơ chế chuyển cổng cho cổng mặc định của BitTorrent được mở là có thể biết được địa chỉ IP thực sự của người dùng VPN trên cùng mạng.
Các nhà cung cấp VPN nào bị ảnh hưởng?
Lỗ hổng ảnh hưởng đến nhiều nhà cung cấp dịch vụ VPN. Perfect Privacy đã kiểm tra chín nhà cung cấp dịch vụ VPN và năm nhà cung cấp trong số đó có thể bị ảnh hưởng bởi “Port Fail” đã được cảnh báo.
Private Internet Access(PIA), Ovpn.to và nVPN đã ra bản vá trước khi thông tin về lỗ hổng được công bố.
Tuy nhiên, dịch vụ của các nhà cung cấp VPN khác cũng có thể bị ảnh hưởng, do Perfect Privacy đã không kiểm thử được tất cả các dịch vụ.
Lỗ hổng được phát hiện bởi nhà cung cấp dịch vụ VPN Perfect Privacy. Hacker có thể sử dụng một thủ thuật trong cơ chế chuyển tiếp cổng (port) trên các dịch vụ:
+ Cho phép chuyển tiếp cổng
+ Không có cơ chế bảo vệ chống lại hình thức tấn công này
Thủ thuật chuyển tiếp cổng là khi một hacker sử dụng cùng một hệ thống VPN với nạn nhân, khi đó địa chỉ IP thực sự của nạn nhân có thể bị lộ do cơ chế chuyển luồng dữ liệu Internet đến một cổng cụ thể.“Nguy hiểm ở chỗ một người dùng VPN, khi kết nối vào máy chủ VPN của mình, sẽ sử dụng luồng mặc định cùng với địa chỉ IP thực, bởi đây là điều kiện bắt buộc để kết nối VPN có thể hoạt động được”, Perfect Privacy cho biết.
Port Fail ảnh hưởng đến tất cả giao thức VPN gồm:
+ OpenVPN
+ IPSec
… trên tất cả các hệ điều hành.+ IPSec
“Port Fail” hoạt động thế nào?
Để lấy địa chỉ IP thành công, hacker cần sử dụng cùng một mạng VPN với nạn nhân và biết địa chỉ IP cuối cùng của VPN nạn nhân (hacker có thể lấy địa chỉ IP này bằng cách lừa nạn nhân truy cập một website do hắn quản lý).
Ví dụ, một kẻ tấn công cùng với cơ chế chuyển cổng được bật có thể theo dõi yêu cầu từ địa chỉ IP thực sự khi nạn nhân mở một tập tin ảnh.
Một tấn công tương tự có thể ảnh hưởng đến người dùng BitTorrent nhưng trong trường hợp này thì không cần hacker phải điều hướng nạn nhân đến website của chúng.
Trong trường hợp này, chỉ cần cơ chế chuyển cổng cho cổng mặc định của BitTorrent được mở là có thể biết được địa chỉ IP thực sự của người dùng VPN trên cùng mạng.
Các nhà cung cấp VPN nào bị ảnh hưởng?
Lỗ hổng ảnh hưởng đến nhiều nhà cung cấp dịch vụ VPN. Perfect Privacy đã kiểm tra chín nhà cung cấp dịch vụ VPN và năm nhà cung cấp trong số đó có thể bị ảnh hưởng bởi “Port Fail” đã được cảnh báo.
Private Internet Access(PIA), Ovpn.to và nVPN đã ra bản vá trước khi thông tin về lỗ hổng được công bố.
Tuy nhiên, dịch vụ của các nhà cung cấp VPN khác cũng có thể bị ảnh hưởng, do Perfect Privacy đã không kiểm thử được tất cả các dịch vụ.
Nguồn: The Hacker News