Port Shadow — атака, позволяющая перехватывать или перенаправлять зашифрованный трафик на VPN-серверах.

Порт Шэдоу

Несколько дней назад была представлена ​​новость оновый метод атаки на соединения, используемые VPN., который был разработан совместно исследователями канадских и американских университетов.

Крещён под именем «Порт Тень» этот метод атаки позволяет, манипулируя таблицами трансляции адресов на VPN-сервере, отправлять ответы на запросы, направленные другому пользователю, подключенному к тому же серверу. Атака может использоваться для перехвата или перенаправления зашифрованного трафика, сканирования портов и анонимизации пользователей VPN. Например, DNS-трафик пользователя может быть перенаправлен на атакующий хост.

Как работает атака Port Shadow?

Порт Шэдоу Это основано на том:

Отправляя специально созданные запросы, злоумышленник, подключенный к тому же VPN-серверу и использующий общий NAT, может изменить таблицы трансляции адресов. Это приводит к отправке пакетов, адресованных одному пользователю, другому. Информация в таблицах NAT о том, какой внутренний IP-адрес связан с запросом, основана на номере исходного порта.

Злоумышленник может вызвать коллизию таблицы NAT. посредством созданных пакетов и одновременных изменений соединения клиента с VPN-сервером и внешним сервером злоумышленника, создание записи с тем же номером исходного порта, но связан с его собственным локальным адресом, что приводит к отправке ответов на адрес злоумышленника.

Чтобы выполнить атаку, Злоумышленник должен быть подключен к тому же VPN-серверу, что и жертва., что возможно в общедоступных VPN-сервисах, обеспечивающих общий доступ (OpenVPN, WireGuard, OpenConnect). Уязвимость влияет на VPN-серверы, использующие трансляцию адресов (NAT) для управления доступом клиентов к внешним ресурсам и где сервер использует один и тот же IP-адрес для получения трафика от клиентов и отправки запросов на внешние сайты.

Типичное взаимодействие между двумя VPN-клиентами и VPN-сервером.

Уязвимые системы и сервисы VPN

En исследование упоминается что Оцененные системы трансляции адресов в Linux и FreeBSD, а также общедоступные службы VPN., такие как OpenVPN, OpenConnect и WireGuard. Исследование показало, что FreeBSD не выявила уязвимостей к атакам с перенаправлением запросов, сделанных другими пользователями в той же VPN, но более серьезные атаки все еще возможны.

Манипулирование таблицами NAT было возможно только во время атаки ATIP. (Смежный по пути), когда злоумышленник может перехватить трафик между пользователем и VPN-сервером (например, подключившись к сети Wi-Fi, контролируемой злоумышленником) или между VPN-сервером и пунктом назначения. Кроме того, NAT во FreeBSD также был уязвим для атаки, позволяющей определить, обращается ли пользователь к определенному сайту (вывод соединения).

В Linux подсистема Netfilter оказалась уязвимой для атак. замена таблиц трансляции адресов, позволяющая перенаправлять входящие пакеты другому пользователю, отправлять пакеты за пределы зашифрованного VPN-канала или обнаруживать открытые сетевые порты на стороне клиента.

Смягчение

Исследователи отмечают, что для смягчения атаки Поставщикам VPN рекомендуется внедрить методы рандомизации чисел. исходного порта в NAT, ограничить количество одновременных подключений, разрешенных к VPN-серверу для каждого пользователя, и ограничить возможность клиента выбирать порт, который получает запросы на VPN-сервере.

Представитель Proton AG прокомментировал это:

Атака не затрагивает VPN-сервисы, которые используют разные IP-адреса для входящих и исходящих запросов. Кроме того, есть сомнения в возможности атаки на реальные VPN-сервисы, поскольку она пока успешно продемонстрирована только в лабораторных испытаниях, требующих определенных условий как на VPN-сервере, так и на атакуемом клиенте. Атака также менее эффективна против зашифрованного трафика, такого как TLS и HTTPS, поскольку ее основное использование заключается в манипулировании незашифрованными запросами, такими как DNS-запросы.

Кроме того, атаки, манипулирующие таблицами трансляции адресов, затрагивают не только VPN, но и беспроводные сети, использующие NAT в точке доступа для подключения пользователей к внешним ресурсам. Исследование, проведенное в прошлом месяце, показало, что подобная атака может перехватывать TCP-соединения других пользователей в беспроводных сетях, будучи эффективной в 24 из 33 протестированных точек беспроводного доступа.

Предложенная атака на сети Wi-Fi оказалась намного проще, чем метод на VPN. Это связано с тем, что многие точки доступа при оптимизации не проверяют точность порядковых номеров в TCP-пакетах.

Наконец, если вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.