Saldırganlar, yönlendirme tabanlı olarak VPN’i etkisiz hale getirebilir

 (leviathansecurity.com)
3 puan yazan GN⁺ 2024-05-07 | 1 yorum | WhatsApp'ta paylaş
  • VPN, kullanıcının cihazı ile başka bir ağdaki bir sunucu arasında ağ trafiği için bir tünel oluşturan bir teknolojidir. Bu sayede oluşan sanal ağ, fiziksel ağla aynı şekilde çalışırken coğrafi konum kısıtlamalarına tabi olmaz.
  • VPN istemcisi, sanal bir ağ arayüzü oluşturur, trafiği şifreleyip/çözer ve ardından fiziksel ağ arayüzüne gönderir.
  • VPN’ler, kullanıcı için mümkün olduğunca kolay kullanılacak şekilde tasarlanmıştır; oturum açıp bir düğmeye tıklamanın dışında fazla işlem gerektirmez.
  • VPN, düşük katmandaki ağ trafiğini internet üzerinden taşıdığı için aslında ana makinenin saldırı yüzeyini artırır. VPN, LAN trafiğini internet üzerinde kapsülleyerek internet üzerinde yerel bir ağ (LAN) oluşturur.
  • VPN, paket şifreleme gibi telafi edici kontroller kullanarak genişleyen LAN saldırı yüzeyini azaltır. Ancak VPN, kullanıcıyı fiziksel LAN’a yönelik yerel ağ saldırılarından korumaz.

DHCP ve DHCP Seçenek 121

  • DHCP, IP adreslerini dinamik olarak atayan ve cihaz yapılandırmasını uzaktan ayarlamaya yönelik seçenekler sunan bir protokoldür.
  • DHCP Seçenek 121, yöneticilerin istemcinin yönlendirme tablosuna statik rotalar eklemesine olanak tanır.
  • DHCP Seçenek 121’in ilginç özelliği, DHCP sunucusunun rotaların hangi ağ arayüzü cihazına kurulacağını belirleyememesidir. Bunun yerine DHCP istemcisi, bu seçenek için yönlendirme kurallarını kurarken DHCP sunucusuyla iletişim kurduğu ağ arayüzünü örtük olarak seçer.

Decloaking saldırısının gereksinimleri ve süreci

  • Hedef ana makine, saldırganın kontrol ettiği DHCP sunucusundan bir DHCP kira atamasını kabul etmelidir.
  • Hedef ana makinenin DHCP istemcisi, DHCP Seçenek 121’i uygulamalıdır.
  • Saldırgan, VPN kullanıcısıyla aynı ağda bir DHCP sunucusu çalıştırır ve DHCP yapılandırmasında kendisini ağ geçidi olarak ayarlar.
  • DHCP Seçenek 121 kullanılarak VPN kullanıcısının yönlendirme tablosuna rotalar yerleştirilir.
  • Bu rota ayarları sayesinde ağ trafiği, VPN’in sanal arayüzü yerine DHCP sunucusuyla iletişim kuran ağ arayüzü üzerinden gönderilir.
  • Trafik, VPN’in şifreli tünelinin dışından iletilir; ancak VPN kontrol kanalı korunur, bu yüzden VPN bağlı görünmeye devam eder.

Etkilenen hedefler

  • RFC spesifikasyonuna göre DHCP istemcisi uygulayan ve DHCP Seçenek 121 rotalarını destekleyen Windows, Linux, iOS, macOS gibi çoğu işletim sistemi etkilenir. (Android, DHCP Seçenek 121’i desteklemediği için etkilenmez)
  • Ana makinenin trafiğini korumak için yalnızca yönlendirme kurallarına dayanan VPN’ler savunmasızdır.
  • Kendi VPN sunucunuzu barındırıyorsanız, VPN istemci yapılandırmasını güçlendirmediğiniz sürece savunmasız olabilirsiniz.
  • Temel VPN protokolünden (WireGuard, OpenVPN, IPsec vb.) bağımsız olarak etkilenir; çünkü sorun, VPN’in dayandığı işletim sistemi ağ yığınını yeniden yapılandırır.

Azaltma yöntemleri ve sınırlamalar

  • Linux’ta ağ namespace kullanımı bu sorunu tamamen çözebilir, ancak genelde iyi uygulanmış değildir.
  • Bazı VPN sağlayıcılarının güvenlik duvarı kurallarıyla fiziksel arayüzdeki gelen/giden trafiği engellediği gözlemlendi, ancak bu yalnızca kısmi bir azaltmadır.
  • DHCP Seçenek 121’i yok saymak da olası bir azaltma yöntemidir, ancak ağ bağlantısının kopmasına yol açabilir.
  • Hotspot veya VM kullanmak, saldırganın yerel ağa erişim elde etmesini zorlaştırdığı için yardımcı olabilir.
  • Mutlak trafik gizliliği gerekiyorsa, güvenilmeyen ağları kullanmaktan kaçınmak en iyi savunmadır.

GN⁺ görüşü

  • VPN, fiziksel ağdaki LAN saldırılarını azaltmak için tasarlanmadığından, güvenilmeyen ağlarda VPN’in müşterileri koruduğuna dair VPN sağlayıcılarının pazarlama iddiaları riskli olabilir. VPN sağlayıcıları, TunnelVision için azaltma yöntemlerini veya düzeltmeleri açıkça belgelendirmeli ve kullanıcılara duyurmalıdır.
  • Kurumsal VPN’ler kahve dükkânı, otel, havaalanı gibi yerlerde sık kullanıldığından, ağ yöneticileri çalışanları bu tür yerlerde çalışmanın riskleri konusunda bilgilendirmeli ve mümkünse bundan kaçınmalarını önermelidir. Ayrıca iç kaynaklarda HTTPS gibi şifreli protokoller uygulanarak, güvenilmeyen ağlardan bağlanan VPN kullanıcıları nedeniyle veri sızıntısı önlenmelidir.
  • İnternet trafiğinin büyük bölümü HTTPS ile korunduğu için, VPN etkisiz hale getirilse bile çoğu kullanıcının verisi yerel ağdaki saldırganlara açığa çıkmayacaktır. Ancak hassas trafik için uyarı gereklidir.
  • Linux dışındaki işletim sistemi bakım ekipleri, ağ namespace ile ilgili işlevlerin eklenip eklenemeyeceğini veya geliştirilemeyeceğini değerlendirmelidir.
  • Bu durum VPN teknolojisinin kendi güvenlik özelliklerini ihlal etmese de, VPN sağlayıcılarının verdiği güvencelerle çeliştiği için bir güvenlik açığı olarak görülebilir. Araştırmacılar, bu tekniğin 2002’den beri mümkün olabileceğini tahmin ediyor ve etkilenen tarafları geniş çapta bilgilendirmek için bulguları yayımlamaya karar verdi.

İlgili okumalar

1 yorum

 
GN⁺ 2024-05-07
Hacker News yorumu

Özet:

  • Bu saldırı, 2016'da Samy Kamkar'ın "Poison Tap" saldırısına benziyor. USB/Thunderbolt ağ bağdaştırıcısı kullanarak daha spesifik iki rota ilan edip tüm trafiği sistemdeki diğer arayüzlerden önce yakalayabiliyor.
  • Başlık bunun tüm VPN istemcilerini etkilediğini iddia ediyor, ancak birçok istemci fiziksel arayüzlerle trafiği engellemek için güvenlik duvarı kuralları ayarlıyor. Büyük bireysel/ticari ve kurumsal VPN çözümleri arasında bu özelliğin varsayılan olarak etkin olduğu oranın belgelenmesi daha faydalı olurdu.
  • DHCP seçenek 121 kullanılırsa, DHCP sunucusu belirli CIDR aralıkları için yönlendirme kuralları ayarlayabilir. Bunlar daha uzun önekler nedeniyle varsayılan 0.0.0.0/0 kuralından daha yüksek öncelik alır.
  • Bu "saldırı", DHCP seçenek 121'in akıllıca kullanılmasından ibaret. Bunu düzgün şekilde izole etmek için uygun politika tabanlı yönlendirme (ör. Linux ağ ad alanları, FreeBSD vnet, OpenBSD rdomains) kullanılmalı.
  • Linux'ta VPN arayüzünü bir VRF içine yerleştirerek bu durum hafifletilebilir. systemd-networkd bunu yerel olarak destekliyor.
  • Saldırganın LAN üzerinde DHCP sunucusu olabilmesi şeklindeki tehdit modeli düşük olasılıklı, ama imkansız değil.
  • Sanal makine tabanlı mimariler de bu sorunu çözebilir. QubesOS, benzer bir yapılandırmayı kurmayı oldukça kolaylaştırıyor.
  • Ağ ad alanlarına ilginç bir alternatif, çekirdek ağ katmanını tamamen atlayıp kullanıcı alanı ağ yığını kullanmak.
  • Sistemde IPv6 etkin durumdayken yalnızca IPv4 destekleyen bir VPN hizmeti kullanmak daha da endişe verici. Ciddi sorunlar çıkabilir.