TunnelCrack, una combinación de dos vulnerabilidades de seguridad generalizadas en las VPN

Hace poco se dio a conocer información sobre una serie de vulnerabilidades descubiertas, las cuales fueron bautizadas bajo el nombre de «TunnelCrack» y las cuales son notablemente importantes, ya que permiten atacar VPN.

La esencia de Tunnelcrack permite básicamente a un atacante que controla el punto de acceso de la víctima redirija las solicitudes del host de destino a su servidor, sin pasar por el túnel VPN, lo que se traduce en que el atacante pueda organizar la interceptación del tráfico sin cifrar.

La idea central detrás de nuestros ataques es manipular al cliente VPN para que envíe tráfico fuera del túnel VPN protegido. Al hacerlo, el tráfico de la víctima se puede leer e interceptar.

Los investigadores menciona que un ataque puede llevarse a cabo, por ejemplo, cuando se conecta a través de un proveedor de internet no confiable o una red inalámbrica desplegada por los atacantes. Durante su estudio pudieron recabar la susceptibilidad de ataque de 67 clientes VPN y concluyeron que el primer método de ataque aparece en todos los clientes VPN probados para todos los sistemas de escritorio y móviles, siendo iOS el más susceptible con un grado del 87%.

Nuestras pruebas indican que cada producto VPN es vulnerable en al menos un dispositivo . Descubrimos que es muy probable que las VPN para iPhone, iPad, MacBook y macOS sean vulnerables, que la mayoría de las VPN en Windows y Linux son vulnerables, y que Android es el más seguro con aproximadamente una cuarta parte de las aplicaciones VPN vulnerables.

Se puede abusar de las vulnerabilidades descubiertas independientemente del protocolo de seguridad utilizado por la VPN. En otras palabras, incluso las VPN que afirman que usan «cifrado de grado militar» o que usan protocolos de cifrado desarrollados por ellos mismos pueden ser atacadas. La causa raíz de ambas vulnerabilidades ha sido parte de las VPN desde su primera creación alrededor de 1996. Esto significa que nuestras vulnerabilidades pasaron desapercibidas, al menos públicamente, durante más de dos décadas.

Sobre los métodos de ataque identificados se mencionan los siguientes:

• LocalNet, el cual se basa en el hecho de que la mayoría de los clientes VPN permiten el acceso directo a la red local. El ataque se reduce al hecho de que la puerta de enlace controlada por el atacante le da a la víctima una dirección IP de la subred en la que se encuentra el host de destino, cuyo tráfico debe ser interceptado. La pila de redes del sistema del usuario considera que el host está al alcance directo y dirige el tráfico directamente a la puerta de enlace del atacante en lugar de a través de la VPN.
• ServerIP, el cual su método se basa en el hecho de que muchos clientes de VPN no cifran el tráfico en la dirección IP de su servidor VPN para evitar que los paquetes se vuelvan a cifrar. La esencia del ataque es que el atacante, que controla la red local y el servidor DNS, puede asignar una dirección IP al dominio cuyas solicitudes se van a interceptar que coincida con la dirección IP del servidor VPN. Cuando se accede al dominio de destino, el cliente VPN supondrá que se está accediendo a un servidor VPN y enviará paquetes a través del túnel VPN sin cifrar.

Se menciona que para proteger a los usuarios y respetando el proceso de divulgación de una vulnerabilidad se prepararon las actualizaciones de seguridad correspondientes en una colaboración coordinada con CERT/CC y varios proveedores de VPN. Dentro de las VPN parcheadas que se mencionan están por ejemplo Mozilla VPN, Surfshark, Malwarebytes, Windscribe y WARP de Cloudflare.

Como medida secundaria y/o en caso de que no estén disponibles las correcciones, se menciona que se puede mitigar el ataque de LocalNet deshabilitando el acceso a la red local. También se puede mitigar los ataques asegurándose de que los sitios web usen HTTPS, que muchos sitios web admiten hoy en día.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.