Исследование, проведенное компанией Top10VPN в сотрудничестве с профессором и исследователем Мати Ванхофом из KU Leuven, выявило серьезную уязвимость в ряде туннельных протоколов. Более 4,2 миллиона хостов по всему миру, включая VPN-серверы, домашние маршрутизаторы интернет-провайдеров, основные интернет-маршрутизаторы, шлюзы мобильных сетей и узлы сетей доставки контента (CDN), подвержены риску из-за отсутствия аутентификации и шифрования в таких протоколах, как IP6IP6, GRE6, 4in6 и 6in4. Эти протоколы, сами по себе, не обеспечивают необходимой безопасности при передаче пакетов.
Суть проблемы заключается в том, что злоумышленники могут использовать эту брешь, чтобы внедрять вредоносный трафик, подменять IP-адреса источника и обходить сетевые фильтры, используя уязвимые хосты в качестве односторонних прокси. Как отметили в Top10VPN: «Интернет-хосты, которые принимают туннельные пакеты без проверки личности отправителя, могут быть захвачены для проведения анонимных атак и предоставления доступа к своим сетям.»
Подобная эксплуатация уязвимостей может привести к серьезным последствиям, включая DoS-атаки (отказ в обслуживании), перегрузку сети, сбои в работе служб и потенциально более сложные атаки, такие как атаки «человек посередине» и перехват данных. Центр координации CERT (CERT/CC) также подтвердил эту проблему, заявив, что «злоумышленник может злоупотребить этими уязвимостями безопасности для создания односторонних прокси и подмены исходных IPv4/6-адресов.»
Принцип работы атаки довольно прост: злоумышленник создает вредоносный пакет, где внешний заголовок содержит IP-адрес атакующего в качестве источника и IP-адрес уязвимого хоста в качестве назначения. Внутренний заголовок содержит IP-адрес уязвимого хоста как источник и IP-адрес цели атаки как назначение. Уязвимый хост, получив этот пакет, удаляет внешний заголовок и пересылает внутренний пакет по назначению, создавая у получателя впечатление, что трафик пришел от доверенного хоста.
По словам Миглиано: «Воздействие на жертв этих DoS-атак может включать перегрузку сети, сбои в работе служб, поскольку ресурсы потребляются перегрузкой трафика, и сбой перегруженных сетевых устройств».
География распространения уязвимости охватывает многие страны. Среди наиболее пострадавших стран называются Китай, Франция, Япония, США и Бразилия. Это говорит о глобальном характере угрозы и необходимости принятия срочных мер по ее устранению.
Для защиты от этих угроз эксперты рекомендуют использовать протоколы IPSec или WireGuard, которые обеспечивают надежную аутентификацию и шифрование. Также необходимо принимать туннельные пакеты только от доверенных источников, внедрять фильтрацию трафика, глубокий анализ пакетов (DPI) и блокировать незашифрованные туннельные пакеты.
Эта проблема имеет прецедент: ранее в 2020 году была обнаружена аналогичная уязвимость, получившая идентификатор CVE-2020-10136. Это подчеркивает важность постоянного контроля и обновления систем безопасности для предотвращения подобных инцидентов.
В заключение, отсутствие должной аутентификации и шифрования в ряде туннельных протоколов представляет серьезную угрозу для миллионов хостов по всему миру. Уязвимые устройства могут стать невольными участниками анонимных атак, способных вызвать значительные сбои в работе сетевой инфраструктуры. Использование надежных протоколов безопасности и внедрение соответствующих мер защиты являются критически важными для обеспечения стабильности и надежности интернет-соединений.
Изображение носит иллюстративный характер
Суть проблемы заключается в том, что злоумышленники могут использовать эту брешь, чтобы внедрять вредоносный трафик, подменять IP-адреса источника и обходить сетевые фильтры, используя уязвимые хосты в качестве односторонних прокси. Как отметили в Top10VPN: «Интернет-хосты, которые принимают туннельные пакеты без проверки личности отправителя, могут быть захвачены для проведения анонимных атак и предоставления доступа к своим сетям.»
Подобная эксплуатация уязвимостей может привести к серьезным последствиям, включая DoS-атаки (отказ в обслуживании), перегрузку сети, сбои в работе служб и потенциально более сложные атаки, такие как атаки «человек посередине» и перехват данных. Центр координации CERT (CERT/CC) также подтвердил эту проблему, заявив, что «злоумышленник может злоупотребить этими уязвимостями безопасности для создания односторонних прокси и подмены исходных IPv4/6-адресов.»
Принцип работы атаки довольно прост: злоумышленник создает вредоносный пакет, где внешний заголовок содержит IP-адрес атакующего в качестве источника и IP-адрес уязвимого хоста в качестве назначения. Внутренний заголовок содержит IP-адрес уязвимого хоста как источник и IP-адрес цели атаки как назначение. Уязвимый хост, получив этот пакет, удаляет внешний заголовок и пересылает внутренний пакет по назначению, создавая у получателя впечатление, что трафик пришел от доверенного хоста.
По словам Миглиано: «Воздействие на жертв этих DoS-атак может включать перегрузку сети, сбои в работе служб, поскольку ресурсы потребляются перегрузкой трафика, и сбой перегруженных сетевых устройств».
География распространения уязвимости охватывает многие страны. Среди наиболее пострадавших стран называются Китай, Франция, Япония, США и Бразилия. Это говорит о глобальном характере угрозы и необходимости принятия срочных мер по ее устранению.
Для защиты от этих угроз эксперты рекомендуют использовать протоколы IPSec или WireGuard, которые обеспечивают надежную аутентификацию и шифрование. Также необходимо принимать туннельные пакеты только от доверенных источников, внедрять фильтрацию трафика, глубокий анализ пакетов (DPI) и блокировать незашифрованные туннельные пакеты.
Эта проблема имеет прецедент: ранее в 2020 году была обнаружена аналогичная уязвимость, получившая идентификатор CVE-2020-10136. Это подчеркивает важность постоянного контроля и обновления систем безопасности для предотвращения подобных инцидентов.
В заключение, отсутствие должной аутентификации и шифрования в ряде туннельных протоколов представляет серьезную угрозу для миллионов хостов по всему миру. Уязвимые устройства могут стать невольными участниками анонимных атак, способных вызвать значительные сбои в работе сетевой инфраструктуры. Использование надежных протоколов безопасности и внедрение соответствующих мер защиты являются критически важными для обеспечения стабильности и надежности интернет-соединений.
