Badania ujawniają 4,2 miliona hostów narażonych na cyberataki za pomocą niezabezpieczonych protokołów tunelowania. Eksperci ds. bezpieczeństwa odkryli nowe luki w zabezpieczeniach protokołu tunelowego, które mogą narazić miliony urządzeń na szeroką gamę cyberataków.

Pakiety tunelowe wykorzystywane do przejmowania hostów internetowych
Z badań wynika, że problem leży w dostawcach usług internetowych, którzy nie weryfikują tożsamości nadawcy podczas obsługi pakietów tunelowanych. Otwiera to drogę do przejęć hostów, co może umożliwić atakującym włamanie się do podatnych na ataki sieci i przekształcenie hostów w broń do anonimowych ataków.
Badanie przeprowadzone przez Top10VPN we współpracy z profesorem i badaczem ds. bezpieczeństwa z KU Leuven Mathym Vanhoefem wykazało, że luka ta dotyczy aż 4,2 miliona hostów.
Problem dotyczy sieci VPN, routerów domowych i węzłów CDN
Na liście urządzeń podatnych na tę lukę znajdują się routery domowe dostawców usług internetowych, sieci VPN, bramy sieci komórkowych, węzły sieci dostarczania treści (CDN) i podstawowi użytkownicy Internetu.
Jak wynika z badań, najbardziej dotknięte są Brazylia, Chiny, Francja, Japonia i USA.
W scenariuszu ataku atakujący mogą wykorzystać tę lukę w zabezpieczeniach, aby zmienić podatne urządzenie w jednokierunkowy serwer proxy, a nawet użyć go do przeprowadzenia ataków typu „odmowa usługi” (DoS).
Anatomia błędu
Luka wynika ze sposobu, w jaki protokoły tunelowania, takie jak 4in6, 6in4, IP6IP6 i GRE6, ułatwiają przesyłanie danych między sieciami bez uwierzytelniania. Sytuację dodatkowo komplikuje fakt, że protokoły te zwykle nie zapewniają odpowiednich zabezpieczeń, np. IPSec, przy szyfrowaniu ruchu.
Badania ujawniają 4,2 miliona hostów narażonych na cyberataki za pomocą niezabezpieczonych protokołów tunelowania
Przestępcy mogą nawet wykorzystać te niedociągnięcia, aby wprowadzić do tunelu złośliwy ruch, wysyłając pakiet z dwoma nagłówkami IP, kapsułkowanymi przy użyciu jednego z podatnych protokołów.
Łagodzenie ataków wykorzystujących lukę
Badacze Bitdefender zalecają stosowanie solidnych protokołów, takich jak IPSec lub WireGuard, aby bronić się przed atakami wykorzystującymi lukę. W ten sposób użytkownicy wymuszaliby uwierzytelnianie i szyfrowanie, filtrując pakiety tunelowania z nieznanych źródeł.
Jako środki zaradcze zdecydowanie zalecane jest również filtrowanie ruchu na routerach i middleboxach, dogłębna inspekcja pakietów (DPI) i blokowanie wszystkich niezaszyfrowanych pakietów tunelowania.
Oprócz tego warto także zabezpieczyć swoje wszystkie urządzenia za pomocą skutecznego programu antywirusowego, np. Bitdefender Premium Security.