Port Shadow, en attack som låter dig avlyssna eller omdirigera krypterad trafik på VPN-servrar

Port Shadow

För några dagar sedan presenterades nyheten ome en ny metod för att attackera anslutningar som används av VPN, som utvecklades gemensamt av forskare från kanadensiska och amerikanska universitet.

Döpt under namnet "Port Shadow" denna attackmetod tillåter, genom att manipulera adressöversättningstabellerna på VPN-servern, skicka svar på förfrågningar riktade till en annan användare som är ansluten till samma server. Attacken kan användas för att avlyssna eller omdirigera krypterad trafik, utföra portskanningar och anonymisera VPN-användare. Till exempel kan en användares DNS-trafik omdirigeras till en attackerande värd.

Hur fungerar en "Port Shadow"-attack?

Port Shadow Det är baserat på det:

Genom att skicka specifikt utformade förfrågningar kan en angripare som är ansluten till samma VPN-server och använder delad NAT ändra adressöversättningstabellerna. Detta gör att paket adresserade till en användare skickas till en annan. Informationen i NAT-tabellerna om vilken intern IP-adress som är associerad med en begäran baseras på källportnumret.

En angripare kan orsaka en NAT-tabellkollision genom skapade paket och samtidiga ändringar av klientens anslutning till VPN-servern och till angriparens externa server, skapa en post med samma källportnummer, men kopplat till sin egen lokala adress, vilket gör att svar skickas till angriparens adress.

För att utföra attacken, Angriparen måste vara ansluten till samma VPN-server som offret, vilket är möjligt i offentliga VPN-tjänster som tillåter allmän åtkomst (OpenVPN, WireGuard, OpenConnect). Sårbarheten påverkar VPN-servrar som använder adressöversättning (NAT) för att hantera klientåtkomst till externa resurser, och där servern använder samma IP för att ta emot trafik från klienter och skicka förfrågningar till externa webbplatser.

Typisk interaktion mellan två VPN-klienter och en VPN-server.

Sårbara VPN-system och tjänster

En studien nämns que Utvärderade adressöversättningssystem på Linux och FreeBSD tillsammans med offentliga VPN-tjänster, såsom OpenVPN, OpenConnect och WireGuard. Det visade studien FreeBSD visade ingen sårbarhet för omdirigeringsattacker av förfrågningar från andra användare på samma VPN, men allvarligare attacker är fortfarande möjliga.

Manipulering av NAT-tabeller var endast möjlig under en ATIP-attack (Adjacent-to-In-Path), där en angripare kan fånga upp trafik mellan en användare och en VPN-server (till exempel genom att ansluta till ett Wi-Fi-nätverk som kontrolleras av angriparen) eller mellan VPN-servern och destinationen. Dessutom var NAT på FreeBSD också sårbart för en attack som gör det möjligt att avgöra om en användare har tillgång till en specifik webbplats (Connection Inference).

På Linux visade sig Netfilter-undersystemet vara mottagligt för attacker ersättning av adressöversättningstabeller, så att du kan omdirigera inkommande paket till en annan användare, skicka paket utanför den krypterade VPN-kanalen eller upptäcka öppna nätverksportar på klientsidan.

Mitigation

Forskarna nämner att för att mildra attacken, VPN-leverantörer rekommenderas att implementera tekniker för att randomisera siffror av källporten i NAT, begränsa antalet samtidiga anslutningar som tillåts till VPN-servern per användare och begränsa klientens förmåga att välja porten som tar emot förfrågningar på VPN-servern.

En representant för Proton AG kommenterade att:

Attacken påverkar inte VPN-tjänster som använder olika IP-adresser för inkommande och utgående förfrågningar. Vidare finns det tvivel om genomförbarheten av attacken mot riktiga VPN-tjänster, eftersom den hittills endast har demonstrerats framgångsrikt i laboratorietester, vilket kräver specifika villkor på både VPN-servern och den attackerade klienten. Attacken är också mindre effektiv mot krypterad trafik, såsom TLS och HTTPS, eftersom dess huvudsakliga användning är vid manipulering av okrypterade förfrågningar, såsom DNS-frågor.

Dessutom påverkar attacker som manipulerar adressöversättningstabeller inte bara VPN, utan även trådlösa nätverk som använder NAT på åtkomstpunkten för att ansluta användare till externa resurser. Förra månaden avslöjade en studie att en liknande attack kunde fånga upp TCP-anslutningar från andra användare på trådlösa nätverk, och vara effektiv i 24 av de 33 trådlösa åtkomstpunkterna som testades.

Den föreslagna attacken för Wi-Fi-nätverk visade sig vara mycket enklare än metoden för VPN. Detta beror på att många åtkomstpunkter, när de använder optimeringar, inte kontrollerar noggrannheten hos sekvensnummer i TCP-paket.

Slutligen, om du är intresserad av att veta mer om detkan du kontrollera detaljerna i följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.