Penyerang Dapat Mengekspos VPN Berbasis Routing

 (leviathansecurity.com)
3 poin oleh GN⁺ 2024-05-07 | 1 komentar | Bagikan ke WhatsApp
  • VPN adalah teknologi yang membuat terowongan untuk lalu lintas jaringan antara perangkat pengguna dan server di jaringan lain. Karena itu, jaringan virtual yang terbentuk dapat berfungsi seperti jaringan fisik tanpa dibatasi lokasi geografis.
  • Klien VPN berperan membuat antarmuka jaringan virtual, mengenkripsi/mendekripsi lalu lintas, lalu mengirimkannya ke antarmuka jaringan fisik.
  • VPN dirancang agar semudah mungkin digunakan oleh pengguna, dan biasanya tidak memerlukan banyak tindakan selain login dan mengklik tombol.
  • Karena VPN mengirimkan lalu lintas jaringan lapisan rendah melalui internet, hal ini justru meningkatkan permukaan serangan host. VPN mengenkapsulasi lalu lintas LAN ke internet sehingga membentuk jaringan area lokal (LAN) di atas internet.
  • VPN menggunakan kontrol kompensasi seperti enkripsi paket untuk mengurangi permukaan serangan LAN yang diperluas. Namun, VPN tidak melindungi pengguna dari serangan jaringan lokal terhadap LAN fisik.

DHCP dan DHCP Opsi 121

  • DHCP adalah protokol yang mengalokasikan alamat IP secara dinamis dan menyediakan opsi untuk menyesuaikan konfigurasi perangkat dari jarak jauh.
  • DHCP Opsi 121 adalah opsi yang memungkinkan administrator menambahkan rute statis ke tabel routing klien.
  • Karakteristik menarik dari DHCP Opsi 121 adalah server DHCP tidak dapat menentukan perangkat antarmuka jaringan tempat rute dipasang. Sebagai gantinya, klien DHCP secara implisit memilih antarmuka jaringan yang digunakan untuk berkomunikasi dengan server DHCP saat memasang aturan routing untuk opsi tersebut.

Syarat dan proses serangan Decloaking

  • Host target harus menerima lease DHCP dari server DHCP yang dikendalikan penyerang.
  • Klien DHCP pada host target harus mengimplementasikan DHCP Opsi 121.
  • Penyerang menjalankan server DHCP di jaringan yang sama dengan pengguna VPN dan menetapkan dirinya sebagai gateway dalam konfigurasi DHCP.
  • Menggunakan DHCP Opsi 121 untuk menetapkan rute pada tabel routing pengguna VPN.
  • Melalui pengaturan rute tersebut, lalu lintas jaringan dikirim melalui antarmuka jaringan yang berkomunikasi dengan server DHCP, bukan melalui antarmuka virtual VPN.
  • Lalu lintas dikirim di luar terowongan terenkripsi VPN, tetapi kanal kontrol VPN tetap dipertahankan sehingga VPN tetap terlihat sebagai masih terhubung.

Pihak yang terdampak

  • Sebagian besar sistem operasi seperti Windows, Linux, iOS, dan MacOS yang mengimplementasikan klien DHCP sesuai spesifikasi RFC dan mendukung rute DHCP Opsi 121 terdampak. (Android tidak terdampak karena tidak mendukung DHCP Opsi 121)
  • VPN yang hanya mengandalkan aturan routing untuk melindungi lalu lintas host bersifat rentan.
  • Jika Anda meng-host server VPN sendiri, Anda dapat menjadi rentan jika tidak memperketat konfigurasi klien VPN.
  • Dampaknya terlepas dari protokol VPN dasar (WireGuard, OpenVPN, IPsec, dll.) karena yang dikonfigurasi ulang adalah stack jaringan OS yang menjadi sandaran VPN.

Mitigasi dan keterbatasan

  • Menggunakan network namespace di Linux dapat sepenuhnya menyelesaikan masalah ini, tetapi umumnya belum diimplementasikan dengan baik.
  • Beberapa penyedia VPN terlihat memblokir lalu lintas inbound/outbound pada antarmuka fisik melalui aturan firewall, tetapi ini hanya mitigasi parsial.
  • Mengabaikan DHCP Opsi 121 juga merupakan mitigasi yang mungkin, tetapi konektivitas jaringan dapat terputus.
  • Menggunakan hot spot atau VM dapat membantu karena membuat penyerang lebih sulit memperoleh akses ke jaringan lokal.
  • Jika kerahasiaan lalu lintas mutlak diperlukan, pertahanan terbaik adalah menghindari penggunaan jaringan yang tidak tepercaya.

Opini GN⁺

  • Karena VPN tidak dirancang untuk mengurangi serangan LAN pada jaringan fisik, klaim pemasaran penyedia VPN bahwa VPN melindungi pelanggan di jaringan yang tidak tepercaya bisa berbahaya. Penyedia VPN harus mendokumentasikan mitigasi atau perbaikan untuk TunnelVision secara terbuka dan memberi tahu pengguna.
  • VPN perusahaan sering digunakan di kedai kopi, hotel, bandara, dan tempat serupa, sehingga administrator jaringan perlu memberi tahu karyawan tentang risiko bekerja di tempat-tempat tersebut dan menyarankan agar sebisa mungkin menghindarinya. Selain itu, protokol terenkripsi seperti HTTPS harus diterapkan pada sumber daya internal untuk mencegah kebocoran data dari pengguna VPN yang terhubung melalui jaringan yang tidak tepercaya.
  • Karena sebagian besar lalu lintas internet dilindungi oleh HTTPS, meskipun VPN dinonaktifkan, sebagian besar data pengguna tidak akan terekspos kepada penyerang di jaringan lokal. Namun, peringatan tetap diperlukan untuk lalu lintas yang sensitif.
  • Pemelihara OS selain Linux perlu memeriksa apakah memungkinkan untuk menambahkan atau meningkatkan fitur terkait network namespace.
  • Ini bukan pelanggaran terhadap properti keamanan teknologi VPN itu sendiri, tetapi dapat dianggap sebagai kerentanan karena bertentangan dengan jaminan yang diberikan penyedia VPN. Para peneliti memperkirakan teknik ini mungkin telah memungkinkan sejak 2002, dan memutuskan untuk mempublikasikan hasil penelitian agar pihak-pihak yang terdampak mengetahui hal ini secara luas.

Bacaan terkait

1 komentar

 
GN⁺ 2024-05-07
Pendapat Hacker News

Ringkasan:

  • Serangan ini mirip dengan serangan "Poison Tap" milik Samy Kamkar pada 2016. Dengan menggunakan adaptor jaringan USB/Thunderbolt, penyerang dapat mengiklankan dua rute yang lebih spesifik dan mencegat seluruh lalu lintas dengan prioritas lebih tinggi daripada antarmuka lain di sistem.
  • Judulnya mengklaim bahwa semua klien VPN terdampak, tetapi banyak klien menetapkan aturan firewall untuk memblokir lalu lintas ke antarmuka fisik. Akan lebih produktif jika didokumentasikan berapa proporsi solusi VPN utama pribadi/komersial dan enterprise yang mengaktifkan fitur ini secara bawaan.
  • Dengan menggunakan DHCP option 121, server DHCP dapat menetapkan aturan perutean untuk rentang CIDR tertentu. Ini mendapat prioritas lebih tinggi daripada aturan default 0.0.0.0/0 karena prefiks yang lebih panjang.
  • "Serangan" ini merupakan pemanfaatan cerdas atas DHCP option 121. Untuk isolasi yang benar, perlu digunakan policy-based routing yang tepat (misalnya Linux network namespace, FreeBSD vnet, OpenBSD rdomains).
  • Di Linux, ini dapat dimitigasi dengan menempatkan antarmuka VPN ke dalam VRF. systemd-networkd mendukung ini secara bawaan.
  • Model ancaman di mana penyerang dapat menjadi server DHCP di LAN kemungkinannya rendah, tetapi bukan mustahil.
  • Arsitektur berbasis mesin virtual juga dapat menyelesaikan masalah ini. QubesOS memungkinkan konfigurasi serupa dengan sangat mudah.
  • Alternatif menarik untuk network namespace adalah sepenuhnya melewati networking kernel dan menggunakan network stack di ruang pengguna.
  • Lebih mengkhawatirkan jika menggunakan layanan VPN khusus IPv4 sambil tetap mengaktifkan IPv6 di sistem. Ini dapat menimbulkan masalah serius.