近期,一种名为“TunnelVision”的新攻击手段被发现,它能够将流量引导至VPN加密隧道之外,使攻击者能够在保持看似安全的VPN连接的同时,窃取未加密的流量。这一方法在Leviathan Security的一份报告中进行了详细描述,主要依赖于动态主机配置协议(DHCP)选项121的滥用,该选项允许在客户端系统上配置无类静态路由。
攻击原理
攻击者设置一个恶意的DHCP服务器,修改路由表,使得所有VPN流量直接发送到本地网络或恶意网关,而不进入加密的VPN隧道。报告中指出:“我们的技术是在与目标VPN用户同一网络上运行一个DHCP服务器,并将我们的DHCP配置设置为使用自身作为网关。当流量到达我们的网关时,我们使用DHCP服务器上的流量转发规则将流量传递到合法网关,同时进行监控。”
漏洞细节
问题在于DHCP缺乏对入站消息的认证机制,这些消息可能会操纵路由,并被分配了漏洞标识符CVE-2024-3661。安全研究人员指出,自2002年以来,恶意行为者就可以利用这一漏洞,但目前尚无已知的实际利用案例。
Leviathan已通知许多受影响的供应商,以及CISA和EFF。研究人员现在已公开披露此问题,并提供了概念验证的利用方式,以提高警惕并促使VPN供应商实施保护措施。
如何防范TunnelVision攻击
用户在连接到由攻击者控制的网络或攻击者存在的网络时,更容易受到“TunnelVision”攻击。可能的场景包括咖啡馆、酒店或机场等公共Wi-Fi网络。
防范措施
-
使用网络命名空间:在Linux上使用网络命名空间,将网络接口和路由表与系统的其余部分隔离,防止恶意DHCP配置影响VPN流量。
-
配置VPN客户端:设置VPN客户端拒绝所有不使用VPN接口的入站和出站流量,例外情况应仅限于必要的DHCP和VPN服务器通信。
-
忽略DHCP选项121:在连接VPN时配置系统忽略DHCP选项121,这可以防止恶意路由指令的应用,尽管在某些配置下可能会干扰网络连接。
-
使用个人热点或虚拟机(VM)连接:这将DHCP交互与主系统的主要网络接口隔离,减少恶意DHCP配置的风险。
-
避免连接不可信网络:特别是在处理敏感数据时,避免连接不可信的网络,因为这些网络是此类攻击的主要环境。
VPN供应商的建议
VPN提供商被鼓励增强其客户端软件,以实现自己的DHCP处理程序或集成额外的安全检查,阻止应用风险DHCP配置。
结论
保护您的设备免受“TunnelVision”攻击的最佳方式是选择一个安全的VPN服务,确保您的网络连接始终是安全的。为所有设备提供三年的低成本VPN保护,是防止此类攻击的有效方法。
立即行动
在2024年黑色星期五期间,抓住网络安全、IT、VPN和防病毒的优惠,保护您的在线隐私与安全!
