Поделиться
Уязвимости в протоколах туннелирования ставят под угрозу более 4 млн хостов
Сетевое оборудование, используемое с уязвимыми протоколами, может превратиться в криминальные прокси, если не принять дополнительных мер.
Без проверки идентификации
В нескольких протоколах безопасного соединения («туннелирования») выявлены многочисленные уязвимости, открывающие возможности для различного рода атак. Под угрозой могут быть более 4,2 млн хостов, включая VPN-серверы, домашние роутеры, предоставляемые провайдерами, магистральные маршрутизаторы, мобильные шлюзы и узлы сетей доставки контента.
Как выяснили исследователи группы Top10VPN вместе с профессором (Mathy Vanhoef) Католического университета Левена Мати Ванхуфом (Mathy Vanhoef), эти хосты принимают пакеты туннеллирования без проверки идентификации отправителя, поэтому их можно использовать для проведения анонимных атак и получения доступа к сетям, в которых располагаются уязвимые хосты. Эксплуатация уязвимостей позволит превратить их в односторонние прокси, а также использовать для DoS-атак. Это подчеркивается в публикации Координационного центра CERT.
Корень проблемы заключается в том, что протоколы туннеллирования – IP6IP6, GRE6, 4in6 и 6in4, которые, как правило, применяются для обмена данными между двумя не связанными друг с другом непосредственно сетями, – не осуществляют аутентификацию корреспондентов и не шифруют трафик, если в соединении не участвует адекватный протокол безопасности, например IPsec. Из-за отсутствия дополнительных слоев защиты складывается сценарий, при котором злоумышленник может внедрить вредоносный трафик в туннель.
По существу речь идет об уязвимости, аналогичной той, что в 2020 г. получила обозначение CVE-2020-10136. Тогда речь шла только о протоколе IP-in-IP и уязвимость была обозначена как среднеопасная (5,3 балла по шкале CVSS 3.x).
Четыре индекса
Сейчас выявленным проблемам присвоены четыре индекса: CVE-2024-7595 (для протоколов GRE и GRE6), CVE-2024-7596 (для протокола Generic UDP Encapsulation), CVE-2025-23018 (для протоколов IPv4-in-IPv6 и IPv6-in-IPv6) и для CVE-2025-23019 (для протокола 6in4).
Как отметил исследователь Top10VPN Симон Мильяно (Simon Migliano), злоумышленнику достаточно отправить пакет, инкапсулированный с помощью любого из этих протоколов и с двумя IP-заголовками. Внешний заголовок будет содержать IP-адрес злоумышленника и адрес целевого хоста. Внутренний же будет указывать на адрес самого уязвимого хоста, в то время как целевой адрес – это цель анонимной атаки.
Таким образом, когда уязвимый хост получает вредоносный пакет, он автоматически отбрасывает внешний IP-заголовок и перенаправляет на целевой адрес только внутренний. Тот содержит уже только адрес уязвимого хоста, который, однако, пользуется доверенным статусом, так что исходящие от него пакеты проходят фильтрацию без всяких проблем.
«Уязвимости в таких протоколах проблемны еще и потому, что они могут оставаться без изменений на протяжении длительного времени, – указывает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – И даже в случае устранения проблемы в них самих, остается большое количество legacy-оборудования, которое будет пропускать только устаревшие варианты соединений. Защита тут возможна только побочная, через применение дополнительных мер на конечных точках».
В качестве средств предохранения эксперты рекомендуют использовать IPsec или WireGuard, чтобы обеспечить соединениям должную аутентификацию и шифрование. Фильтрацию трафика рекомендуется производить также на роутерах и других сетевых устройствах, а также внедрить DPI-инспекцию и блокировать любые нешифрованные пакеты туннелирования.
Короткая ссылка
