【漏洞通告】TunnelVision VPN路由绕过漏洞（CVE-2024-3661）

2024年5月8日，启明星辰VSRC监测到研究人员发布了一种名为“TunnelVision”的新攻击技术（追踪为CVE-2024-3661，CVSS评分7.6），该技术可以绕过 VPN 封装，并使威胁者能够使用动态主机配置协议的内置功能将流量发送到 VPN 隧道之外，目前该漏洞的细节及PoC已公开。

由于DHCP协议未对某些信息进行验证，如无类静态路由选项121（该选项允许 DHCP 服务器为客户端指定无类别静态路由），与目标用户位于同一本地网络且能够控制或修改目标用户的 DHCP 租约的威胁者可以通过操纵路由来重定向VPN流量，从而可能读取、破坏或修改受VPN保护的网络流量。

二、影响范围

该漏洞会影响遵循 DHCP 客户端 RFC 规范并支持 DHCP 选项121 路由的操作系统，受影响系统包括：

Windows

Linux

MacOS

iOS

注：Android 可能不支持选项 121，因此不受影响。此外，TunnelVision 可能不受任何 VPN 协议（Wireguard、OpenVPN、IPsec）、密码套件或其他加密属性的影响。通过使用 DHCP 选项121将流量路由到远离 VPN 接口的位置，因此不会发生 VPN 加密例程。

三、安全措施

3.1 升级版本

受影响用户可参考以下缓解措施。

3.2 临时措施

针对 VPN 用户可选择应用以下缓解措施：

l在 Linux 上使用网络命名空间将网络接口和路由表与系统的其他部分隔离，防止恶意 DHCP 配置影响 VPN 流量。

l配置 VPN 客户端以拒绝所有不使用 VPN 接口的入站和出站流量。例外情况应仅限于必要的 DHCP 和 VPN 服务器通信。

l将系统配置为在连接到 VPN 时忽略 DHCP 选项 121。这可以防止应用恶意路由指令，但在某些配置下可能会破坏网络连接。

l通过个人热点或虚拟机 (VM) 内进行连接。这将 DHCP 交互与主机系统的主网络接口隔离，从而降低了恶意 DHCP 配置的风险。

l避免连接到不受信任的网络，尤其是在处理敏感数据时。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.leviathansecurity.com/blog/tunnelvision

https://www.zscaler.com/blogs/security-research/cve-2024-3661-k-tunnelvision-exposes-vpn-bypass-vulnerability

https://www.bleepingcomputer.com/news/security/new-tunnelvision-attack-leaks-vpn-traffic-using-rogue-dhcp-servers/

https://nvd.nist.gov/vuln/detail/CVE-2024-3661

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】TunnelVision VPN路由绕过漏洞（CVE-2024-3661）