新的隧道视觉技术可以绕过VPN封装

利维坦安全研究人员最近发现了一种新的攻击技术，被称为TunnelVision，可以绕过VPN封装。

威胁行为者可以利用这种技术，通过DHCP（动态主机配置协议）的内置功能强制将目标用户的流量从其VPN隧道中移除。这种技术会导致VPN无法加密某些数据包，使流量容易受到窥探。

研究人员将这一结果称为“解盖”。专家指出，在攻击期间，VPN控制通道仍然处于活动状态，并且用户在所有观察到的情况下仍然看起来连接到VPN。该技术操纵了用于通过VPN隧道发送网络流量的路由表。TunnelVision利用了漏洞CVE-2024-3661，这是一个DHCP设计缺陷，其中诸如无类别静态路由（选项121）之类的消息没有经过身份验证，因此可以被攻击者操纵。选项121使管理员能够将静态路由合并到客户端的路由表中，使用无类别范围。除了数据包大小之外，可以同时安装的不同路由数量没有限制。能够发送DHCP消息的威胁行为者可以篡改路由以重新路由VPN流量，使其能够拦截、干扰或潜在地操纵网络流量。

本地网络攻击者可以利用该技术将流量重定向到本地网络而不是VPN隧道。只有在目标主机接受来自攻击者控制的服务器的DHCP租约并且目标主机的DHCP客户端实施了DHCP选项121时，攻击者才能解除VPN流量的盖子。

利维坦安全报告称：“我们想强调，存在一些方式，使得与被定向用户处于同一网络的攻击者可能能够成为其DHCP服务器：通过对真正的DHCP进行DHCP饥饿攻击，然后响应新的客户端。我们已经在实验环境中实现了这一点，并正在准备一篇后续博客文章。通过竞速响应DHCPDISCOVER广播以滥用DHCP客户端的常见行为，即他们实施了首次提供租约选择。ARP欺骗以拦截真正的DHCP服务器和客户端之间的流量，然后等待客户端更新他们的租约。我们的技术是在与目标VPN用户相同的网络上运行DHCP服务器，并将我们的DHCP配置设置为将自身用作网关。当流量到达我们的网关时，我们在DHCP服务器上使用流量转发规则将流量传递到合法网关，同时窃听它。”

研究人员解释说，在攻击过程中，受害者无法注意到与VPN的任何断开连接，并且他们还指出，这个缺陷与特定的VPN提供商或实现无关。TunnelVision技术对大多数基于IP路由的VPN系统都有效。研究人员推测，这个漏洞自从2002年实施了选项121以来就存在于DHCP中。他们认为这种技术可能已经被发现，并可能被威胁行为者在野外使用。为了减轻这个问题，VPN提供商可以在支持的操作系统上实施网络命名空间，将接口和路由表与本地网络的控制隔离开来。专家提供了其他的缓解措施，包括使用防火墙规则、使用热点或虚拟机，以及避免使用不受信任的网络。

原文始发于微信公众号（黑猫安全）：新的隧道视觉技术可以绕过VPN封装