Un importante agujero de seguridad en las redes privadas virtuales (VPN) reportado esta semana nunca tuvo la intención de cumplir una función de seguridad, según los expertos en seguridad, a pesar de que las VPN se utilizan ampliamente como defensa.
Leviathan Security Group informó en una publicación de blog la vulnerabilidad del agujero de seguridad de VPN, que no se puede parchear ni desactivar de manera significativa. Los investigadores han delineado una técnica llamada TunnelVision que los atacantes pueden usar para transferir datos dentro de una VPN a una ubicación donde se puedan leer en texto claro.
Lo que hace que este agujero de seguridad sea aún más peligroso es que el software VPN no tiene forma de saber que el contenido ha sido redirigido, por lo que es posible que el sistema no pueda alertar a nadie de que se ha producido un ataque.
Debido a que las VPN son solo túneles cifrados y no brindan seguridad en ninguno de los extremos, los atacantes a menudo las utilizan para acceder a su entorno por una puerta trasera. El malware implantado en la máquina de un usuario de VPN puede aprovechar archivos infectados y acceder de forma segura a la red más amplia de una empresa a través de la VPN.
“Una VPN no es necesariamente una herramienta de seguridad; es una herramienta de conectividad que los departamentos de TI “añadieron e intentaron resolver un problema”, dijo Dani Kronse, consultor senior de seguridad de Leviathan y uno de los autores del informe. “Piense en ello como una cuestión de percepción en términos de marketing”.
En el pasado, muchos ejecutivos de negocios han calificado las características de seguridad de las VPN como muy superiores a sus verdaderas capacidades, dijo Brian Levine, socio gerente de ciberseguridad de Ernst & Young. “Esta situación no ha cambiado mucho, porque la seguridad requiere una defensa profunda, por lo que depender únicamente de las VPN fue insuficiente”, dijo Levine.
“Sobre todo, el tráfico debe cifrarse adecuadamente antes de ingresar a la VPN. Toda tecnología tiene vulnerabilidades. El hecho de que una herramienta tenga una vulnerabilidad específica no se presta a una estrategia de defensa en profundidad”. .
Noah Bedome, CISO residente de Leviathan, dice que los CISO deben recordar los orígenes de las VPN. “Las VPN nunca debieron ser soluciones de seguridad. No fueron diseñadas para eso”, afirma.
“En ese momento, era para uso temporal. [they were created]”Sin embargo, la mayoría de las empresas tienen tantas VPN en uso que no pueden ser reemplazadas fácilmente”, dijo Bedome, y agregó que la falta de fondos y personal para las operaciones de seguridad dificulta el reemplazo rápido de las VPN. Es probable que esto se haya vuelto más difícil. , añadió.
Cómo intercepta TunnelVision el tráfico VPN
Según los investigadores, TunnelVision es un ataque secundario y sólo es efectivo si el atacante ya tiene suficiente acceso a la red. El peligro es que parte del personal de seguridad y TI pueda pensar que una VPN protegerá sus datos incluso si su entorno está comprometido. Según las pruebas realizadas por Leviathan, no existe tal protección con las VPN estándar.
Este ataque “evita la encapsulación de VPN. Usando esta técnica, un atacante puede usar las capacidades integradas del Protocolo de configuración dinámica de host (DHCP) para forzar el tráfico del usuario objetivo fuera del túnel VPN”, escribieron los investigadores de Leviathan. “Como resultado, los usuarios pueden enviar paquetes que la VPN nunca cifra y los atacantes pueden espiar ese tráfico. Usamos el término ‘decloaking’ para referirnos a este efecto. Es importante destacar que el canal de control de VPN se mantiene, por lo que funciones como los interruptores de interrupción nunca se activan y el usuario permanece conectado a la VPN en todos los casos que observamos. “
Según la investigación de Leviathan, la clave del ataque reside en la manipulación de la opción 121 de DHCP.
“Nuestra técnica consiste en ejecutar un servidor DHCP en la misma red que el usuario VPN objetivo y configurar la configuración DHCP para usarlo como puerta de enlace. Una vez que el tráfico llega a la puerta de enlace, configuramos las reglas de reenvío de tráfico del servidor DHCP. Utilice la opción DHCP 121 para dirigir el tráfico y monitorear la puerta de enlace legítima y configurar la ruta en la tabla de enrutamiento del usuario de VPN “También puede configurar múltiples rutas usando.
“Al impulsar rutas que son más específicas que el rango CIDR /0 que utilizan la mayoría de las VPN, puede crear reglas de enrutamiento que tienen mayor prioridad que las rutas de interfaz virtual que crea la VPN. Puede configurarlo para replicar el 0.0.0.0/0 regla de tráfico total que tienen la mayoría de las VPN.
Esta táctica permite que el tráfico de red se envíe a través de la misma interfaz que el servidor DHCP en lugar de la interfaz de red virtual, pero esta funcionalidad no se especifica explícitamente en el RFC.
“Por lo tanto, las rutas que enviamos no están cifradas por la interfaz virtual de la VPN, sino que se envían por la interfaz de red que se comunica con el servidor DHCP. Puede elegir si la dirección pasa por la interfaz de red que se comunica con el servidor DHCP.
Este ataque puede evadir la detección por parte de las VPN
Quizás el aspecto más problemático de este ataque es su capacidad para evadir la detección. Leviathan dijo que durante un ataque de este tipo, “los usuarios de VPN parecen estar conectados a la VPN, y el atacante puede controlar qué IP se revelan, por lo que, en teoría, podrían revelar las IP de verificación de fugas. Puede optar por no hacerlo”.
El equipo de Leviathan descubrió que es posible filtrar IP de DNS mientras se reenvía tráfico y obtener información sobre el tráfico dentro del túnel mientras se mantiene la conexión VPN. “Nunca hemos observado que un servidor VPN utilice un interruptor de apagado u otra característica para interrumpir las conexiones”.
Otro problema con este ataque es que las VPN se utilizan a menudo en lugares con una protección de seguridad WiFi débil o nula, como cafeterías, aeropuertos e instalaciones médicas.
Una sesión de preguntas y respuestas publicada en otro sitio de Leviathan señala que si bien el espionaje DHCP y otras protecciones se emplean ampliamente en la mayoría de las redes, “la mayoría de las personas que usan una VPN no se conectan desde una red corporativa. Se conectan desde una red pública o su red doméstica. Además, parte del modelo de amenaza del proveedor de VPN es que puede proteger todas las redes que no son de confianza, incluso aquellas que no tienen estas protecciones”. Masu.
Minimizar los riesgos de TunnelVision
Aunque no existe ningún parche o solución para el agujero de seguridad, existen formas de minimizar el daño. Las empresas pueden asegurarse de que todos los datos estén cifrados antes de ingresar a la VPN. Esto evita el problema, ya que un atacante podría saber adónde van los datos y de quién provienen, pero al menos debería proteger los datos en sí. En un entorno Zero Trust, dicho cifrado debería ser la opción predeterminada.
Según Leviathan, el ataque funcionó en todos los sistemas operativos excepto Android. Sin embargo, Bedome dijo que no es aconsejable alentar a los usuarios de dispositivos móviles a migrar a Android porque Android tiene otras limitaciones de seguridad.
La compañía dice que otras formas de solucionar este problema tienen efectos secundarios de seguridad indeseables. “Hemos identificado una mitigación para esta técnica y también hemos identificado un parche para sistemas operativos basados en Linux”, decía el blog. “Sin embargo, esta mitigación proporciona un canal secundario que se puede utilizar para la censura selectiva de denegación de servicio, y el análisis de tráfico también puede eliminar el anonimato de los destinos del tráfico”.
Para resolver este problema, intentar simplemente eliminar la compatibilidad con la función DHCP puede provocar que se desconecte la conectividad a Internet incluso en casos legítimos, afirma el informe. Leviathan dijo que su recomendación más fuerte para los proveedores de VPN es implementar espacios de nombres de red, una característica de Linux que permite que las interfaces y tablas de enrutamiento se separen del control de las redes locales compatibles.
Otra estrategia es evitar redes Wi-Fi desconocidas y utilizar un punto de acceso junto con un enrutador de viaje, afirma Lizzie Moratti, consultora de seguridad de Leviathan y otra autora del informe.
Bedome añade que es útil buscar WiFi que ofrezca aislamiento de host, “para que puedas tener tu propia subred. Las redes de viajes, especialmente los hoteles, normalmente no tienen aislamiento de host”.
Fuente: https://www.csoonline.com/article/2099467/massive-security-hole-in-vpns-shows-their-shortcomings-as-a-defensive-measure.html/amp/