Burlar la encapsulación VPNTunnelVision CVE-2024-3661
Posted inSeguridad Informatica

Burlar la encapsulación VPNTunnelVision CVE-2024-3661

1
Spread the love
Listen to this article

TunnelVision es una vulnerabilidad que permite a los atacantes burlar la encapsulación VPN
y redirigir el tráfico fuera del túnel cifrado. En otras palabras, el ataque fuerza a las aplicaciones
VPN a enviar y recibir parte o todo el tráfico fuera del túnel seguro diseñado para protegerlo
contra el espionaje o la manipulación.
Aquí están los puntos clave:

  1. Funcionamiento del ataque:
    Manipulación del servidor DHCP: El ataque se basa en manipular el servidor DHCP
    que asigna direcciones IP a los dispositivos que intentan conectarse a la red local.
    Uso de la opción 121: Existe una configuración llamada opción 121 que permite al
    servidor DHCP anular las reglas de enrutamiento predeterminadas que envían el
    tráfico VPN a través de una dirección IP local que inicia el túnel cifrado.
    Desvío del tráfico: Al utilizar la opción 121 para enrutar el tráfico VPN a través del
    servidor DHCP, el ataque desvía los datos hacia el propio servidor DHCP.
    Decloak del tráfico: Como resultado, el tráfico de la víctima queda “descubierto” y se
    enruta directamente a través del atacante. El atacante puede leer, descartar o
    modificar el tráfico filtrado, mientras que la víctima mantiene su conexión tanto con
    la VPN como con Internet.
  2. Impacto:
    Negación del propósito de las VPN: TunnelVision prácticamente anula el propósito
    principal de las VPN, que es cifrar el tráfico entrante y saliente en un túnel seguro y
    ocultar la dirección IP del usuario.
    Afecta a todas las aplicaciones VPN: Los investigadores creen que afecta a todas las
    aplicaciones VPN cuando están conectadas a una red hostil, excepto cuando la VPN
    se ejecuta en Linux o Android.
  3. Posible existencia desde 2002:
    Los investigadores sugieren que esta técnica de ataque podría haber sido posible
    desde 2002 y posiblemente ya se haya descubierto y utilizado en la naturaleza.
    En resumen, TunnelVision representa una amenaza significativa para la seguridad de las
    conexiones VPN y destaca la importancia de mantenerse informado sobre las vulnerabilidades y
    las mejores prácticas de seguridad en línea. Si utilizas una VPN, asegúrate de estar al tanto de las
    actualizaciones y parches para protegerte contra este tipo de ataques

CVE-2024-3661: ¿Qué es y cómo funciona?

Resumen:

El CVE-2024-3661, también conocido como TunnelVision, es una vulnerabilidad crítica en el protocolo DHCP (Dynamic Host Configuration Protocol) que permite a los atacantes redirigir el tráfico VPN y exponer los datos confidenciales.

¿Cómo funciona?

El protocolo DHCP, por diseño, no autentica los mensajes, lo que significa que un atacante con acceso a la red puede enviar mensajes DHCP falsos al dispositivo de la víctima. Estos mensajes falsos pueden indicar al dispositivo que redirija su tráfico VPN a través del servidor del atacante en lugar del servidor VPN legítimo.

¿Qué impacto tiene?

Un atacante que explota con éxito esta vulnerabilidad puede:

  • Leer el tráfico VPN: El atacante puede interceptar y leer todo el tráfico que pasa por la VPN, incluyendo correos electrónicos, contraseñas y datos confidenciales de la empresa.
  • Modificar el tráfico VPN: El atacante puede modificar el tráfico VPN para inyectar malware, redirigir a sitios web falsos o interrumpir las comunicaciones.
  • Espiar las actividades en línea: El atacante puede monitorear las actividades en línea de la víctima, como los sitios web que visita, las aplicaciones que usa y los datos que ingresa.

¿Qué VPNs son vulnerables?

Las VPNs basadas en enrutamiento IP, que son las más comunes, son las más vulnerables a este tipo de ataque. Esto se debe a que dependen del protocolo DHCP para asignar direcciones IP a los dispositivos. Las VPNs basadas en túneles, como OpenVPN o WireGuard, no son susceptibles a este tipo de ataques.

¿Cómo protegerse?

Si bien no existe una solución completa para esta vulnerabilidad, hay algunas medidas que se pueden tomar para mitigar el riesgo:

  • Utilizar una VPN basada en túneles: Las VPNs basadas en túneles, como OpenVPN o WireGuard, no son susceptibles a este tipo de ataques.
  • Implementar controles de seguridad de red: Los firewalls y los sistemas de detección de intrusiones (IDS) pueden ayudar a detectar y bloquear el tráfico DHCP malicioso.
  • Mantener el software actualizado: Aplicar los parches de seguridad más recientes para el sistema operativo, el software de la VPN y los dispositivos de red.
  • Estar atento a las actividades inusuales: Monitorear el tráfico de red y las actividades en línea para detectar comportamientos sospechosos.

Es importante tener en cuenta que la información anterior se basa en el conocimiento actual de la vulnerabilidad y puede cambiar a medida que se publique más información.

Recursos adicionales:

0 0 votos
Article Rating
Suscribir
Notificar de
guest
1 Comment
Más antiguo
La mas nueva Más votado
Comentarios en línea
Ver todos los comentarios
M~a binance
M~a binance
3 meses atrás

I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article.

0
Responder