TunnelVision es una vulnerabilidad que permite a los atacantes burlar la encapsulación VPN
y redirigir el tráfico fuera del túnel cifrado. En otras palabras, el ataque fuerza a las aplicaciones
VPN a enviar y recibir parte o todo el tráfico fuera del túnel seguro diseñado para protegerlo
contra el espionaje o la manipulación.
Aquí están los puntos clave:
- Funcionamiento del ataque:
Manipulación del servidor DHCP: El ataque se basa en manipular el servidor DHCP
que asigna direcciones IP a los dispositivos que intentan conectarse a la red local.
Uso de la opción 121: Existe una configuración llamada opción 121 que permite al
servidor DHCP anular las reglas de enrutamiento predeterminadas que envían el
tráfico VPN a través de una dirección IP local que inicia el túnel cifrado.
Desvío del tráfico: Al utilizar la opción 121 para enrutar el tráfico VPN a través del
servidor DHCP, el ataque desvía los datos hacia el propio servidor DHCP.
Decloak del tráfico: Como resultado, el tráfico de la víctima queda “descubierto” y se
enruta directamente a través del atacante. El atacante puede leer, descartar o
modificar el tráfico filtrado, mientras que la víctima mantiene su conexión tanto con
la VPN como con Internet. - Impacto:
Negación del propósito de las VPN: TunnelVision prácticamente anula el propósito
principal de las VPN, que es cifrar el tráfico entrante y saliente en un túnel seguro y
ocultar la dirección IP del usuario.
Afecta a todas las aplicaciones VPN: Los investigadores creen que afecta a todas las
aplicaciones VPN cuando están conectadas a una red hostil, excepto cuando la VPN
se ejecuta en Linux o Android. - Posible existencia desde 2002:
Los investigadores sugieren que esta técnica de ataque podría haber sido posible
desde 2002 y posiblemente ya se haya descubierto y utilizado en la naturaleza.
En resumen, TunnelVision representa una amenaza significativa para la seguridad de las
conexiones VPN y destaca la importancia de mantenerse informado sobre las vulnerabilidades y
las mejores prácticas de seguridad en línea. Si utilizas una VPN, asegúrate de estar al tanto de las
actualizaciones y parches para protegerte contra este tipo de ataques
CVE-2024-3661: ¿Qué es y cómo funciona?
Resumen:
El CVE-2024-3661, también conocido como TunnelVision, es una vulnerabilidad crítica en el protocolo DHCP (Dynamic Host Configuration Protocol) que permite a los atacantes redirigir el tráfico VPN y exponer los datos confidenciales.
¿Cómo funciona?
El protocolo DHCP, por diseño, no autentica los mensajes, lo que significa que un atacante con acceso a la red puede enviar mensajes DHCP falsos al dispositivo de la víctima. Estos mensajes falsos pueden indicar al dispositivo que redirija su tráfico VPN a través del servidor del atacante en lugar del servidor VPN legítimo.
¿Qué impacto tiene?
Un atacante que explota con éxito esta vulnerabilidad puede:
- Leer el tráfico VPN: El atacante puede interceptar y leer todo el tráfico que pasa por la VPN, incluyendo correos electrónicos, contraseñas y datos confidenciales de la empresa.
- Modificar el tráfico VPN: El atacante puede modificar el tráfico VPN para inyectar malware, redirigir a sitios web falsos o interrumpir las comunicaciones.
- Espiar las actividades en línea: El atacante puede monitorear las actividades en línea de la víctima, como los sitios web que visita, las aplicaciones que usa y los datos que ingresa.
¿Qué VPNs son vulnerables?
Las VPNs basadas en enrutamiento IP, que son las más comunes, son las más vulnerables a este tipo de ataque. Esto se debe a que dependen del protocolo DHCP para asignar direcciones IP a los dispositivos. Las VPNs basadas en túneles, como OpenVPN o WireGuard, no son susceptibles a este tipo de ataques.
¿Cómo protegerse?
Si bien no existe una solución completa para esta vulnerabilidad, hay algunas medidas que se pueden tomar para mitigar el riesgo:
- Utilizar una VPN basada en túneles: Las VPNs basadas en túneles, como OpenVPN o WireGuard, no son susceptibles a este tipo de ataques.
- Implementar controles de seguridad de red: Los firewalls y los sistemas de detección de intrusiones (IDS) pueden ayudar a detectar y bloquear el tráfico DHCP malicioso.
- Mantener el software actualizado: Aplicar los parches de seguridad más recientes para el sistema operativo, el software de la VPN y los dispositivos de red.
- Estar atento a las actividades inusuales: Monitorear el tráfico de red y las actividades en línea para detectar comportamientos sospechosos.
Es importante tener en cuenta que la información anterior se basa en el conocimiento actual de la vulnerabilidad y puede cambiar a medida que se publique más información.
Recursos adicionales: