Lỗ hổng bảo mật mới trên VPN

Khi một thiết bị kết nối với một mạng từ xa thông qua một đường hầm VPN, lưu lượng mạng của máy đi qua đường hầm này được mã hóa và bảo mật. Tùy thuộc vào cấu hình của VPN, toàn bộ lưu lượng có thể đi qua VPN (full VPN) hoặc chỉ một số luồng nhất định (split VPN). Ngoài ra, VPN có thể được sử dụng để truy cập Internet trong khi ẩn địa chỉ IP công khai, có thể coi đây là một trong những “chức năng” của các VPN dành cho người dùng phổ thông. Chính chức năng này đang bị ảnh hưởng trực tiếp bởi TunnelVision.

Lỗ hổng TunnelVision được gán mã định danh là CVE-2024-3661 (điểm CVSS: 7,6), khai thác lỗi cơ bản trong quá trình các thiết bị trên mạng cục bộ xử lý định tuyến, dẫn đến việc bỏ qua toàn bộ cơ chế bảo mật của VPN. Khác với các phương pháp trước đây yêu cầu tấn công phức tạp vào các máy chủ VPN, TunnelVision hoạt động ở mạng cục bộ, điều này khiến cho việc khai thác dễ dàng hơn và gây ảnh hưởng đến bất kỳ thiết bị nào sử dụng VPN dựa trên định tuyến.

Khai thác lỗ hổng TunnelVision

Để khai thác lỗ hổng TunnelVision, các tác nhân đe dọa phải thiết lập một cấu hình đặc biệt trên một máy chủ DHCP. Cụ thể, kẻ tấn công phải cấu hình tùy chọn 121 của giao thức DHCP có tên là “Classless static route”. Đây là chức năng phân phối một hoặc nhiều tuyến đường đi bổ sung cho DHCP client.

Như vậy, kẻ tấn công có thể tạo ra những tuyến đường này với mức độ ưu tiên cao hơn so với các tuyến đường được xác định bởi kết nối VPN, từ đó có thể điều hướng lưu lượng VPN đến cổng ra mà chúng muốn.

Điều này có thể đạt được mà không cần phải tấn công các cơ sở hạ tầng mạng quan trọng như máy chủ DHCP. Các chuyên gia bảo mật đã chỉ ra rằng: “TunnelVision là một kỹ thuật gây rò rỉ VPN trên mạng cục bộ cho phép kẻ tấn công đọc, ngắt kết nối và đôi khi sửa đổi lưu lượng VPN từ một mục tiêu trên mạng cục bộ”.

Kẻ tấn công cần phải ở trên cùng một mạng cục bộ với nạn nhân và chúng phải có khả năng thay đổi cấu hình của máy chủ DHCP (hoặc sử dụng một máy chủ DHCP Rogue).

TunnelVision được xác nhận ảnh hưởng đến nhiều hệ điều hành hỗ trợ tùy chọn tuyến đường DHCP 121, bao gồm Windows, Linux, iOS và MacOS.

Hệ điều hành Android không bị ảnh hưởng đáng kể do không hỗ trợ tùy chọn DHCP 121. Phát hiện này đặc biệt đáng lo ngại đối với cá nhân và tổ chức phụ thuộc vào VPN để bảo vệ quyền riêng tư và bảo mật, đặc biệt là những nhà báo, những nhà hoạt động chính trị sử dụng các dịch vụ này để che giấu hoạt động của họ khỏi các thế lực đối địch.

Nghiên cứu còn cho thấy rằng, trong khi hầu hết lưu lượng VPN thương mại được mã hóa qua HTTPS, việc tiết lộ siêu dữ liệu (như địa chỉ đích) vẫn gây ra rủi ro lớn đối với quyền riêng tư. Hơn nữa, bất kỳ lưu lượng qua HTTP cũng không được bảo vệ hoàn toàn, gây lộ tất cả dữ liệu được truyền đi.

Việc điều hướng lưu lượng dường như không ngăn cản việc đường hầm VPN hoạt động và điều này cũng không kích hoạt tính năng bảo vệ “kill switch” tích hợp trong một số VPN.

Mô tả đánh giá và mức độ nguy hiểm của lỗ hổng TunnelVision

Để phòng tránh trước mối đe dọa này, người dùng chú ý cần tránh sử dụng VPN trên các mạng không đáng tin cậy mà không có các biện pháp bảo vệ bổ sung, như phân chia mạng hoặc cài đặt tường lửa nâng cao.

Bên cạnh đó, việc tạo ra quy tắc tường lửa trên thiết bị cục bộ là một cách để tự bảo vệ khỏi cuộc tấn công gây ra bởi lỗ hổng TunnelVision. Đồng thời, việc kích hoạt một số biện pháp bảo vệ như DHCP Snooping cũng có thể hữu ích. Vì TunnelVision không phụ thuộc vào giao thức VPN được sử dụng, vậy nên không có giao thức nào được ưu tiên hơn một giao thức khác (OpenVPN, IPsec, WireGuard,…).

Từ kết quả nghiên cứu của Cronce và Moratti có thể thấy được tầm quan trọng về hiệu quả của VPN trong việc bảo vệ quyền riêng tư của người dùng trên các mạng cục bộ. Trong đó nhấn mạnh trách nhiệm chung giữa các nhà cung cấp VPN, người dùng và các nhà phát triển hệ điều hành để đánh giá lại và củng cố các khung bảo mật xung quanh việc sử dụng VPN.