近日,一项由Top10VPN与比利时鲁汶大学教授Mathy Vanhoef合作的研究揭示,多个隧道协议存在严重安全漏洞,可能导致攻击者对420万台主机发起多种攻击,其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络(CDN)节点等。受影响最严重的国家包括中国、法国、日本、美国和巴西。
漏洞详情:隧道协议未加密,攻击者可匿名攻击
研究指出,IP6IP6、GRE6、4in6和6in4等隧道协议在数据传输过程中缺乏身份验证和加密机制,导致攻击者可以滥用这些漏洞,将易受攻击的系统作为单向代理,甚至发起拒绝服务(DoS)攻击。CERT协调中心(CERT/CC)在公告中警告,攻击者可能利用这些漏洞伪造源IPv4/6地址,访问组织的私有网络,或发起分布式拒绝服务(DDoS)攻击。
这些漏洞的根源在于,隧道协议本身并未强制使用如IPSec(互联网协议安全)等加密和认证机制,使得攻击者能够向隧道中注入恶意流量。这一漏洞与2020年报告的CVE-2020-10136类似,但影响范围更广。
漏洞编号与攻击原理
目前,相关漏洞已被分配以下CVE编号:
-
CVE-2024-7595(GRE和GRE6协议)
-
CVE-2024-7596(通用UDP封装协议)
-
CVE-2025-23018(IPv4-in-IPv6和IPv6-in-IPv6协议)
-
CVE-2025-23019(IPv6-in-IPv4协议)
Top10VPN的Simon Migliano解释道,攻击者只需发送一个封装了双重IP头的恶意数据包。外层IP头包含攻击者的源IP和易受攻击主机的目标IP,而内层IP头的源IP则伪装成易受攻击主机的IP。当易受攻击的主机接收到该数据包时,会自动剥离外层IP头,并将内层数据包转发至目标地址。由于内层数据包的源IP是受信任的主机,因此能够绕过网络过滤器。
潜在危害:网络拥堵、服务中断与数据泄露
Migliano指出,这些漏洞可能导致网络拥堵、服务中断,甚至使过载的网络设备崩溃。此外,攻击者还可能利用漏洞发起中间人攻击,拦截敏感数据,进一步扩大危害。
防御建议:加密与流量过滤是关键
为应对这些漏洞,专家建议采取以下措施:
-
使用IPSec或WireGuard:为隧道协议提供加密和身份验证。
-
仅接受可信来源的隧道数据包:限制数据包的来源,减少攻击面。
-
实施流量过滤和深度包检测(DPI):在路由器和中间设备上部署过滤规则,拦截未加密的隧道数据包。
总结
此次漏洞的曝光再次提醒我们,网络安全无小事。无论是企业还是个人用户,都应密切关注设备的安全配置,及时更新防护措施,避免成为攻击者的目标。对于网络管理员来说,部署加密协议和流量过滤机制是当前最有效的防御手段。
原文始发于微信公众号(技术修道场):420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论