يجعل هجوم “TunnelVision” جميع شبكات VPN تقريبًا عرضة للتجسس.

قام الباحثون بتطوير هجوم ضد جميع تطبيقات الشبكات الخاصة الافتراضية تقريبًا، مما يفرض إرسال واستقبال بعض أو كل حركة المرور خارج النفق المشفر.

TunnelVision، كما أطلق الباحثون على هجومهم، ينفي إلى حد كبير الغرض الكامل ونقطة البيع للشبكات الافتراضية الخاصة، وهي تغليف عنوان IP الخاص بالمستخدم عن طريق إحاطة حركة مرور الإنترنت الواردة والصادرة في نفق مشفر. ويعتقد الباحثون أن جميع تطبيقات VPN تكون عرضة للخطر عند الاتصال بشبكة معادية، ولا توجد طرق لمنع مثل هذه الهجمات إلا عندما تكون شبكة VPN الخاصة بالمستخدم تعمل على Linux أو Android. وقالوا إن أسلوب الهجوم الخاص بهم ربما كان قابلاً للتطبيق منذ عام 2002، وربما تم اكتشافه بالفعل واستخدامه في البرية منذ ذلك الحين.

قراءة أو إسقاط أو تعديل حركة مرور VPN

تأثير TunnelVision هو أن “حركة مرور الضحية يتم الآن تعطيلها وتوجيهها مباشرة من خلال المهاجم” مظاهرة الفيديو شرح. “يمكن للمهاجم قراءة أو إسقاط أو تعديل حركة المرور المسربة ويحتفظ الضحية باتصاله بكل من VPN والإنترنت.”

الهجوم يعمل عن طريق التلاعب خادم DHCP يعين عناوين IP للأجهزة التي تحاول الاتصال بالشبكة المحلية. نظام يعرف باسم الخيار 121 يسمح لخادم DHCP بتجاوز قواعد التوجيه الافتراضية عن طريق إرسال حركة مرور VPN عبر عنوان IP محلي يبدأ نفقًا مشفرًا. باستخدام الخيار 121 لتوجيه حركة مرور VPN عبر خادم DHCP، يقوم المهاجم بإعادة توجيه البيانات إلى خادم DHCP. وأوضح الباحثون في Leviathan Security:

تتمثل تقنيتنا في تشغيل خادم DHCP على نفس الشبكة مثل مستخدم VPN المستهدف وتعيينه لاستخدام تكوين DHCP الخاص بنا كبوابة. عندما تصل حركة المرور إلى بوابتنا، نستخدم قواعد إعادة توجيه حركة المرور على خادم DHCP لتوجيه حركة المرور عبر البوابة الشرعية.

نستخدم خيار DHCP رقم 121 لتعيين المسار في جدول التوجيه الخاص بمستخدم VPN. المسار الذي حددناه تعسفي ويمكننا تعيين مسارات متعددة إذا لزم الأمر. من خلال دفع مسارات معينة إلى ما هو أبعد من حد /0 CIDR الذي تستخدمه معظم شبكات VPN، يمكنك إنشاء قواعد توجيه ذات أولوية أعلى من مسارات الواجهة الافتراضية التي تنشئها شبكة VPN. يمكنك إعداد مسارات /1 متعددة لإعادة إنشاء جميع قواعد المرور 0.0.0.0/0 التي تحددها معظم شبكات VPN.

يعني دفع المسار أن حركة مرور الشبكة يتم إرسالها على نفس الواجهة مثل خادم DHCP بدلاً من واجهة الشبكة الافتراضية. هذه وظيفة لم يتم ذكرها بوضوح في RFC. لذلك، بالنسبة للمسارات التي ندفعها، لا يتم تشفيرها أبدًا بواسطة الواجهة الافتراضية لشبكة VPN، ولكن يتم إرسالها بدلاً من ذلك عبر واجهة الشبكة التي تتحدث إلى خادم DHCP. كمهاجم، يمكننا اختيار عناوين IP التي تمر عبر النفق والعناوين التي تمر عبر واجهة الشبكة التي تتحدث إلى خادم DHCP الخاص بنا.

يتم الآن إرسال حركة المرور خارج نفق VPN المشفر. يمكن استخدام هذه التقنية أيضًا ضد اتصال VPN تم إنشاؤه بالفعل عندما يحتاج مضيف مستخدم VPN إلى تجديد عقد الإيجار من خادم DHCP الخاص بنا. يمكننا خلق هذا الموقف بشكل مصطنع عن طريق تحديد فترة إيجار قصيرة لتأجير DHCP، بحيث يقوم المستخدم بتحديث جدول التوجيه الخاص به في كثير من الأحيان. بالإضافة إلى ذلك، لا تزال قناة التحكم VPN سليمة لأنها تستخدم بالفعل واجهة فعلية لاتصالاتها. في اختباراتنا، أبلغت شبكة VPN باستمرار أنها كانت متصلة دائمًا، ولم يعمل مفتاح الإيقاف مطلقًا على قطع اتصال VPN الخاص بنا.

يمكن تنفيذ الهجوم بشكل أكثر فعالية من قبل شخص لديه سيطرة إدارية على شبكة الاتصال المستهدفة. في هذا السيناريو، يقوم المهاجم بتكوين خادم DHCP لاستخدام الخيار 121. يمكن للمستخدمين الذين لا يستطيعون الاتصال بالشبكة تنفيذ هجوم عن طريق إعداد خادم DHCP الخاص بهم.

يسمح هذا الهجوم بإرسال بعض أو كل حركة المرور عبر نفق غير مشفر. على أية حال، سيبلغ تطبيق VPN أن جميع البيانات يتم إرسالها عبر اتصال آمن. لا يتم تشفير أي حركة مرور يتم تحويلها من هذا النفق بواسطة VPN وينتمي عنوان IP للإنترنت المرئي للمستخدم البعيد إلى الشبكة التي يتصل بها مستخدم VPN، وليس الشبكة المعينة بواسطة تطبيق VPN.

ومن المثير للاهتمام أن Android هو نظام التشغيل الوحيد الذي يمنع تمامًا مهاجمة تطبيقات VPN لأنه لا يقوم بتمكين الخيار 121. بالنسبة لجميع أنظمة التشغيل الأخرى، لا توجد إصلاحات كاملة. عند تشغيل التطبيقات على Linux، يوجد إعداد يقلل من التأثيرات، ولكن يمكن لـ TunnelVision الاستفادة منه. قناة جانبية يمكن استخدامه لإخفاء هوية حركة المرور المستهدفة وتنفيذ هجمات رفض الخدمة المستهدفة. يمكن أيضًا تكوين جدران الحماية للشبكة لمنع حركة المرور الواردة والصادرة إلى الواجهة الفعلية. يمثل هذا الحل مشكلة لسببين: (1) لا يتمتع مستخدم VPN الذي يتصل بشبكة غير موثوقة بالقدرة على التحكم في جدار الحماية، و(2) يفتح نفس القناة الجانبية مثل تخفيف Linux.

الإصلاحات الأكثر فائدة هي تشغيل VPN داخل جهاز ظاهري حيث لا يكون محول الشبكة في وضع الجسر، أو توصيل VPN بالإنترنت من خلال شبكة Wi-Fi الخاصة بالجهاز الخلوي. البحث الذي أجراه الباحثون في Leviathan Security، ليزي موراتي وداني كرانز، متاح هنا.

ظهرت هذه القصة أولا آرس تكنيكا.