Vulnerabilidad CVE-2024-3661

Los investigadores han descubierto un método llamado TunnelVision, una técnica de evasión de red privada virtual (VPN) que permite a los actores de amenazas interceptar el tráfico de red de las víctimas que se encuentran en la misma red local.

Este enfoque de "desenmascaramiento" se ha identificado con el identificador CVE CVE-2024-3661. Afecta a todos los sistemas operativos que incorporen un cliente DHCP que admita rutas DHCP opción 121. Básicamente, TunnelVision redirige el tráfico no cifrado a través de una VPN aprovechando un servidor DHCP controlado por un atacante, que utiliza la opción de ruta estática sin clases 121 para modificar la tabla de enrutamiento de los usuarios de VPN. El protocolo DHCP, por diseño, no autentica dichos mensajes de opción, lo que los expone a manipulación.

El papel del protocolo DHCP

DHCP es un protocolo cliente/servidor diseñado para asignar automáticamente direcciones de Protocolo de Internet (IP) y detalles de configuración relacionados, como máscaras de subred y puertas de enlace predeterminadas, a los hosts, permitiéndoles conectarse a una red y sus recursos.

Este protocolo facilita la asignación confiable de direcciones IP a través de un servidor que mantiene un grupo de direcciones disponibles y asigna una a cualquier cliente habilitado para DHCP al iniciar la red.

Dado que estas direcciones IP son dinámicas (alquiladas) en lugar de estáticas (asignadas permanentemente), las direcciones que ya no están en uso se devuelven automáticamente al grupo para su reasignación.

La vulnerabilidad permite a un atacante con la capacidad de enviar mensajes DHCP manipular el enrutamiento y redirigir el tráfico VPN. Este exploit permite al atacante ver, interrumpir o modificar potencialmente el tráfico de red que se esperaba que fuera seguro bajo la VPN. Dado que este método funciona independientemente de las tecnologías VPN o los protocolos subyacentes, no se ve afectado en absoluto por el proveedor de VPN o la implementación utilizada.

La vulnerabilidad CVE-2024-3661 puede afectar a la mayoría de los principales sistemas operativos

En esencia, TunnelVision engaña a los usuarios de VPN haciéndoles creer que sus conexiones son seguras y encriptadas a través de un túnel, pero los redirige al servidor del atacante para una posible inspección. Para exponer con éxito el tráfico VPN, el cliente DHCP del host objetivo debe admitir la opción DHCP 121 y aceptar una concesión del servidor del atacante.

Este ataque se parece a TunnelCrack, que filtra tráfico de un túnel VPN protegido cuando se conecta a redes Wi-Fi no confiables o ISP no confiables, lo que genera ataques de adversario en el medio (AitM).

El problema afecta a los principales sistemas operativos como Windows, Linux, macOS e iOS, pero no a Android debido a su falta de soporte para la opción DHCP 121. Las herramientas VPN que dependen únicamente de reglas de enrutamiento para proteger el tráfico también se ven afectadas.