Badania ujawniają 4,2 miliona hostów narażonych na cyberataki za pomocą niezabezpieczonych protokołów tunelowania
Piotr R
22 stycznia 2025
Badania ujawniają 4,2 miliona hostów narażonych na cyberataki za pomocą niezabezpieczonych protokołów tunelowania. Eksperci ds. bezpieczeństwa odkryli nowe luki w zabezpieczeniach protokołu tunelowego, które mogą narazić miliony urządzeń na szeroką gamę cyberataków.
Pakiety tunelowe wykorzystywane do przejmowania hostów internetowych
Z badań wynika, że problem leży w dostawcach usług internetowych, którzy nie weryfikują tożsamości nadawcy podczas obsługi pakietów tunelowanych. Otwiera to drogę do przejęć hostów, co może umożliwić atakującym włamanie się do podatnych na ataki sieci i przekształcenie hostów w broń do anonimowych ataków.
Badanie przeprowadzone przez Top10VPN we współpracy z profesorem i badaczem ds. bezpieczeństwa z KU Leuven Mathym Vanhoefem wykazało, że luka ta dotyczy aż 4,2 miliona hostów.
Problem dotyczy sieci VPN, routerów domowych i węzłów CDN
Na liście urządzeń podatnych na tę lukę znajdują się routery domowe dostawców usług internetowych, sieci VPN, bramy sieci komórkowych, węzły sieci dostarczania treści (CDN) i podstawowi użytkownicy Internetu.
Jak wynika z badań, najbardziej dotknięte są Brazylia, Chiny, Francja, Japonia i USA.
W scenariuszu ataku atakujący mogą wykorzystać tę lukę w zabezpieczeniach, aby zmienić podatne urządzenie w jednokierunkowy serwer proxy, a nawet użyć go do przeprowadzenia ataków typu „odmowa usługi” (DoS).
Anatomia błędu
Luka wynika ze sposobu, w jaki protokoły tunelowania, takie jak 4in6, 6in4, IP6IP6 i GRE6, ułatwiają przesyłanie danych między sieciami bez uwierzytelniania. Sytuację dodatkowo komplikuje fakt, że protokoły te zwykle nie zapewniają odpowiednich zabezpieczeń, np. IPSec, przy szyfrowaniu ruchu.
Badania ujawniają 4,2 miliona hostów narażonych na cyberataki za pomocą niezabezpieczonych protokołów tunelowania
Przestępcy mogą nawet wykorzystać te niedociągnięcia, aby wprowadzić do tunelu złośliwy ruch, wysyłając pakiet z dwoma nagłówkami IP, kapsułkowanymi przy użyciu jednego z podatnych protokołów.
Łagodzenie ataków wykorzystujących lukę
Badacze Bitdefenderzalecają stosowanie solidnych protokołów, takich jak IPSec lub WireGuard, aby bronić się przed atakami wykorzystującymi lukę. W ten sposób użytkownicy wymuszaliby uwierzytelnianie i szyfrowanie, filtrując pakiety tunelowania z nieznanych źródeł.
Jako środki zaradcze zdecydowanie zalecane jest również filtrowanie ruchu na routerach i middleboxach, dogłębna inspekcja pakietów (DPI) i blokowanie wszystkich niezaszyfrowanych pakietów tunelowania.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.