Une nouvelle attaque baptisée « Tunnel Vision » peut acheminer le trafic en dehors d’un tunnel de cryptage Vpn, permettant aux attaquants d’espionner le trafic non crypté tout en conservant l’apparence d’une connexion VPN sécurisée.

La méthode, décrite en détail dans un rapport de Leviathan Security, repose sur l’abus de l’option 121 du protocole DHCP (Dynamic Host Configuration Protocol), qui permet la configuration de routes statiques sans classe sur le système d’un client.

Les attaquants ont mis en place un serveur DHCP malveillant qui modifie les tables de routage afin que tout le trafic VPN soit envoyé directement au réseau local ou à une passerelle malveillante, sans jamais entrer dans le tunnel VPN crypté.

« Notre technique consiste à exécuter un serveur DHCP sur le même réseau qu’un utilisateur VPN ciblé et à définir également notre configuration DHCP pour qu’elle s’utilise comme passerelle », lit-on dans le rapport.

« Lorsque le trafic atteint notre passerelle, nous utilisons des règles de transfert de trafic sur le serveur DHCP pour transmettre le trafic à une passerelle légitime pendant que nous l’espionnons. »

Processus d’exploitation

Le problème réside dans l’absence de mécanisme d’authentification Dhcp pour les messages entrants qui pourraient manipuler les routes, et l’identifiant de vulnérabilité CVE-2024-3661 a été attribué.

Les chercheurs en sécurité notent que cette vulnérabilité est exploitable par de mauvais acteurs depuis au moins 2002, mais il n’y a aucun cas connu d’exploitation active dans la nature.

Leviathan a informé de nombreux fournisseurs concernés, ainsi que CISA et l’EFF. Les chercheurs ont maintenant divulgué publiquement le problème ainsi qu’un exploit de validation de principe pour sensibiliser et obliger les fournisseurs de VPN à mettre en œuvre des mesures de protection.

Atténuation des attaques TunnelVision
Les utilisateurs sont plus susceptibles d’être affectés par les attaques « TunnelVision » s’ils connectent leur appareil à un réseau contrôlé par l’attaquant ou sur lequel l’attaquant est présent. Les scénarios possibles incluraient les réseaux Wi-Fi publics comme ceux des cafés, des hôtels ou des aéroports.

Le VPN sur l’appareil ciblé doit être susceptible de manipulation de routage, ce qui, selon Leviathan, est généralement le cas avec la plupart des clients VPN qui utilisent des règles de routage au niveau du système sans protection contre les fuites.

Enfin, la configuration DHCP automatique sur la machine cible doit être activée pour que la configuration DHCP malveillante soit appliquée lors de la connexion réseau. C’est, encore une fois, une configuration couramment observée.

Cependant, il convient de noter que pour que cette attaque fonctionne, un utilisateur doit se connecter au serveur DHCP non autorisé avant le serveur légitime du réseau.

Les chercheurs affirment que les attaquants peuvent augmenter les chances que leurs serveurs malveillants soient accédés en premier de plusieurs manières, y compris les attaques de famine DHCP contre le serveur légitime et l’usurpation ARP.

La faille TunnelVision CVE-2024-3661 affecte Windows, Linux, macOS et iOS. En raison du fait qu’Android ne prend pas en charge l’option DHCP 121, il s’agit du seul système d’exploitation majeur non affecté par les attaques TunnelVision.

Leviathan propose les atténuations suivantes pour les utilisateurs de VPN:

  • Utilisez des espaces de noms réseau sous Linux pour isoler les interfaces réseau et les tables de routage du reste du système, empêchant ainsi les configurations DHCP malveillantes d’affecter le trafic VPN.
  • Configurez les clients VPN pour refuser tout le trafic entrant et sortant qui n’utilise pas l’interface VPN. Les exceptions doivent être limitées aux communications nécessaires des serveurs DHCP et VPN.
  • Configurez les systèmes pour ignorer l’option DHCP 121 lorsqu’ils sont connectés à un VPN. Cela peut empêcher l’application d’instructions de routage malveillantes, bien que cela puisse perturber la connectivité réseau sous certaines configurations.
  • Connectez-vous via des points d’accès personnels ou au sein de machines virtuelles (VM). Cela isole l’interaction DHCP de l’interface réseau principale du système hôte, réduisant ainsi le risque de configurations DHCP non autorisées.
  • Évitez de vous connecter à des réseaux non fiables, en particulier lors de la manipulation de données sensibles, car ce sont des environnements privilégiés pour de telles attaques.

Quant aux fournisseurs de VPN, ils sont encouragés à améliorer leur logiciel client pour implémenter leurs propres gestionnaires DHCP ou à intégrer des contrôles de sécurité supplémentaires qui bloqueraient l’application de configurations DHCP risquées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *