WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Lỗ hổng TunnelCrack ảnh hưởng đến phần lớn các ứng dụng VPN
Mạng riêng ảo hay VPN là ứng dụng giúp bảo mật thông tin và đảm bảo an toàn, cung cấp một đường hầm (tunnel) mã hóa dữ liệu khi người dùng truy cập Internet. Nhưng giải pháp này đang bị tin tặc lợi dụng để tiến hành một kiểu tấn công mới có tên TunnelCrack.
Đây là nghiên cứu của nhóm chuyên gia đến từ Đại học New York. Kiểu khai thác này bao gồm 2 kỹ thuật mà chưa từng bị phát hiện kể từ năm 1996.
Lỗ hổng này hiện diện trong mọi sản phẩm VPN của mọi nền tảng, có thể bị khai thác nhằm làm rò rỉ và xem được lưu lượng người dùng, đánh cắp thông tin hay thậm chí phát động các cuộc tấn công vào thiết bị của người dùng.
Các kỹ thuật tấn công có tên là “LocalNet” và “ServerIP”. Trong khi iOS, Macbook và macOS có khả năng bị ảnh hưởng nhiều nhất, Windows và Linux ở mức độ thấp hơn. Android có vẻ là an toàn nhất với chỉ 1/4 các ứng dụng VPN tồn tại lỗ hổng.
Tấn công LocalNet lợi dụng các ngoại lệ khi định tuyến trong VPN, đặc biệt là các luật cho phép lưu lượng đến và đi từ mạng nội bộ và máy chủ VPN. Kẻ tấn công có thể lừa người dùng VPN gửi lưu lượng ra ngoài đường hầm an toàn bằng cách thao túng các ngoại lệ này.
Ví dụ: kẻ xấu muốn can thiệp vào kết nối của người dùng có địa chỉ IPv4 là 1.2.3.4, chúng sẽ chỉ định thiết bị của nạn nhân truy cập vào địa chỉ con (subnet) 1.2.3.10. Lưu lượng của nạn nhân thay vì đi qua đường hầm an ninh lại được gửi ra ngoài, khiến nó dễ dàng bị đánh cắp.
Tấn công ServerIP thì theo cách khác nhưng hiệu quả tương đương. Kẻ tấn công sẽ giả mạo địa chỉ IP của một máy chủ VPN. Bằng cách chỉnh sửa phản hồi DNS, kẻ xấu chuyển hướng lưu lượng của nạn nhân đến các địa chỉ IP do chúng kiểm soát. Truy vấn của nạn nhân đến các website cụ thể sau đó được gửi ra ngoài đường hầm VPN được bảo vệ, dẫn đến rò rỉ các truy vấn web.
Các nhà nghiên cứu an ninh mạng đã đưa ra hướng dẫn và đoạn script để giúp người dùng đánh giá liệu dịch vụ VPN của mình có bị ảnh hưởng bởi lỗ hổng TunnelCrack hay không. Người dùng có thể tham khảo tại đây.
Clip demo cách thức khai thác lỗ hổng TunnelCrack:
Các khách hàng dùng VPN tích hợp sẵn trong hệ điều hành Windows, macOS và iOS được cho là dễ bị tấn công nhất, còn Android 12 trở lên không bị ảnh hưởng
Một số nhà cung cấp dịch vụ VPN đã vá 2 lỗ hổng này gồm có Mozilla VPN, Surfshark, Malwarebytes và WARP của Cloudflare. Ngoài ra, người dùng cũng có thể vô hiệu hóa quyền truy cập mạng nội bộ hoặc đảm bảo an toàn khi sử dụng HTTPS để giảm thiểu rủi ro.
Đây là nghiên cứu của nhóm chuyên gia đến từ Đại học New York. Kiểu khai thác này bao gồm 2 kỹ thuật mà chưa từng bị phát hiện kể từ năm 1996.
Lỗ hổng này hiện diện trong mọi sản phẩm VPN của mọi nền tảng, có thể bị khai thác nhằm làm rò rỉ và xem được lưu lượng người dùng, đánh cắp thông tin hay thậm chí phát động các cuộc tấn công vào thiết bị của người dùng.
Các kỹ thuật tấn công có tên là “LocalNet” và “ServerIP”. Trong khi iOS, Macbook và macOS có khả năng bị ảnh hưởng nhiều nhất, Windows và Linux ở mức độ thấp hơn. Android có vẻ là an toàn nhất với chỉ 1/4 các ứng dụng VPN tồn tại lỗ hổng.
Tấn công LocalNet lợi dụng các ngoại lệ khi định tuyến trong VPN, đặc biệt là các luật cho phép lưu lượng đến và đi từ mạng nội bộ và máy chủ VPN. Kẻ tấn công có thể lừa người dùng VPN gửi lưu lượng ra ngoài đường hầm an toàn bằng cách thao túng các ngoại lệ này.
Ví dụ: kẻ xấu muốn can thiệp vào kết nối của người dùng có địa chỉ IPv4 là 1.2.3.4, chúng sẽ chỉ định thiết bị của nạn nhân truy cập vào địa chỉ con (subnet) 1.2.3.10. Lưu lượng của nạn nhân thay vì đi qua đường hầm an ninh lại được gửi ra ngoài, khiến nó dễ dàng bị đánh cắp.
Tấn công ServerIP thì theo cách khác nhưng hiệu quả tương đương. Kẻ tấn công sẽ giả mạo địa chỉ IP của một máy chủ VPN. Bằng cách chỉnh sửa phản hồi DNS, kẻ xấu chuyển hướng lưu lượng của nạn nhân đến các địa chỉ IP do chúng kiểm soát. Truy vấn của nạn nhân đến các website cụ thể sau đó được gửi ra ngoài đường hầm VPN được bảo vệ, dẫn đến rò rỉ các truy vấn web.
Các nhà nghiên cứu an ninh mạng đã đưa ra hướng dẫn và đoạn script để giúp người dùng đánh giá liệu dịch vụ VPN của mình có bị ảnh hưởng bởi lỗ hổng TunnelCrack hay không. Người dùng có thể tham khảo tại đây.
Clip demo cách thức khai thác lỗ hổng TunnelCrack:
Các khách hàng dùng VPN tích hợp sẵn trong hệ điều hành Windows, macOS và iOS được cho là dễ bị tấn công nhất, còn Android 12 trở lên không bị ảnh hưởng
Một số nhà cung cấp dịch vụ VPN đã vá 2 lỗ hổng này gồm có Mozilla VPN, Surfshark, Malwarebytes và WARP của Cloudflare. Ngoài ra, người dùng cũng có thể vô hiệu hóa quyền truy cập mạng nội bộ hoặc đảm bảo an toàn khi sử dụng HTTPS để giảm thiểu rủi ro.
Theo Security Online
Chỉnh sửa lần cuối: