Nel mondo della sicurezza informatica, la protezione dei dati in transito attraverso reti pubbliche è di fondamentale importanza e le VPN (Virtual Private Networks) sono da tempo considerate una soluzione affidabile per garantire la privacy e la sicurezza online. Tuttavia, una nuova tecnica di attacco, denominata “TunnelVision”, scoperta da Leviathansecurity ha messo in luce vulnerabilità significative che potrebbero compromettere l’efficacia delle VPN. TunnelVision è una tecnica di fuga di dati VPN sulla rete locale che consente a un utente malintenzionato di leggere, eliminare e talvolta modificare il traffico VPN da destinazioni sulla rete locale. Questa tecnica non attiva i kill switch e non dispone di una soluzione completa per tutti i principali sistemi operativi.
Cos’è e come funziona TunnelVision
TunnelVision è una tecnica di fuga di dati VPN che consente ad un attaccante di rivelare il traffico VPN di un utente su una rete locale senza disconnetterlo dalla VPN. Questo metodo non attiva gli interruttori di sicurezza (kill-switches) e non esiste una soluzione completa per ogni sistema operativo principale.
“Un utente malintenzionato può utilizzare questa tecnica per forzare il traffico di un utente di destinazione fuori dal tunnel VPN utilizzando le funzionalità integrate di DHCP (Dynamic Host Configuration Protocol). Il risultato di ciò è che l’utente trasmette pacchetti che non vengono mai crittografati da una VPN e un utente malintenzionato può curiosare nel loro traffico“, si legge nel rapporto.
La tecnica sfrutta l’opzione DHCP 121, una funzione integrata e ampiamente supportata che permette di installare più percorsi con intervalli CIDR (Classless Inter-Domain Routing) consentendo la fuga furtiva del traffico VPN di un utente bersaglio. Il bypass dell’incapsulamento VPN può avvenire sotto determinati condizioni:
- L’attaccante deve trovarsi sulla stessa rete locale della vittima;
- L’host preso di mira deve accettare un lease di indirizzo DHCP dal server controllato dall’attaccante;
- ll client DHCP dell’host vittima deve implementare l’opzione DHCP 121.
Impatto e mitigazione
Alla vulnerabilità definita “decloaking”, che ha effetto su tutti i sistemi operativi (Linux, Windows, iOS e MacOS sono vulnerabili) che implementano un client DHCP e supportano l’opzione route DHCP 121 è stato assegnato l’identificativo CVE-2024-3661 (punteggio CVSS: 7,6). La tecnica TunneVision funziona indipendentemente dal protocollo VPN utilizzato (Wireguard, OpenVPN, IPsec), dalle suite di cifratura o da altre proprietà crittografiche. Una soluzione sarebbe disponibile su Linux, configurando l’host dell’utente VPN per utilizzare i namespace di rete.
La scoperta di TunnelVision solleva questioni importanti sulla sicurezza delle VPN, specialmente in ambienti pubblici dove gli utenti si affidano a queste tecnologie per proteggere la loro privacy.
“Come alternativa potrebbe essere utilizzato un hot spot affidabile e quindi connettersi alla VPN. Infine, l’esecuzione della VPN all’interno di una macchina virtuale che ottiene un lease di indirizzo da un server DHCP virtualizzato impedirebbe al server DHCP della rete locale di eseguire routing alternativi“
È essenziale che i fornitori di VPN e gli utenti siano consapevoli di questa tecnica e adottino misure per mitigare i rischi associati. La sicurezza online è una battaglia in continua evoluzione, e TunnelVision è solo l’ultimo esempio di come gli attaccanti possano sfruttare le vulnerabilità esistenti per compromettere la privacy degli utenti. Per ulteriori dettagli visitare la pagina GitHub di Leviathansecurity.