VPN 製品の大半に影響:TunnelCrack 攻撃でトラフィック・リークにいたる脆弱性とは?

Almost all VPNs are vulnerable to traffic-leaking TunnelCrack attacks

2023/08/14 HelpNetSecurity — 世の中に出回っている大半の VPN 製品に影響を及ぼす複数の脆弱性が、攻撃者に悪用されていることが、研究者たちにより発見された。その悪用に成功した攻撃者たちにより、トラフィック盗聴/情報窃取/デバイス攻撃などが行われる可能性があるという。ニューヨーク大学の Nian Xue と、ニューヨーク大学アブダビ校の Yashaswi Malla/Zihang Xia/Christina Pöpper、そして、KU ルーヴェン大学の Mathy Vanhoef は、「私たちが検証した攻撃方式では、コンピューティング・コストが掛からないため、適切なネットワークア・クセスさえあれば誰もが実行可能であり、それぞれの環境で用いられている VPN プロトコルには非依存である」と主張している。

研究者たちは、「被害者が HTTPS などの暗号化レイヤーを使用している場合であっても、私たちの攻撃手法は、ユーザーが訪問している Web サイトを明らかにするため、重大なプライバシー・リスクを生じる可能性がる」と付け加えている。


VPN の脆弱性と攻撃の可能性

彼らが発見した脆弱性には、4つの CVE である CVE-2023-36672/CVE-2023-35838/CVE-2023-36673/CVE-2023-36671 が割り振られている。きわめて多くの脆弱なソリューションが存在するが、これらの CVE は、影響を受けるソリューション/コードベースとは無関係になく、それぞれの脆弱性を示している。

CVE-2023-36672/CVE-2023-35838 のペアは、LocalNet 攻撃での悪用の可能性が、すなわち、攻撃者により設定された Wi-Fi/イーサネット・ネットワークに、ユーザーが接続する際に悪用される可能性がある。CVE-2023-36673/CVE-2023-36671 のペアは、信頼されていない Wi-Fi/イーサネット・ネットワークを使用している攻撃者や、悪意の ISP による、ServerIP 攻撃で利用される可能性がある。

研究者たちは、「どちらの攻撃も、被害者のルーティング・テーブルを操作して、保護された VPN トンネルの外側にトラフィックを送信する。つまり、被害者を騙して、送信されたトラフィックを攻撃者に読み取らせ、傍受させるものだ」と述べている。

研究者たちは、3種類の攻撃パターンを示すデモ動画を公開している。また、VPN クライアントの脆弱さをチェックするための、スクリプトも公開している。彼らは、「十分な数のデバイスにパッチが適用され、必要/有益と判断されるなら、攻撃スクリプトも公開される予定だ」と付け加えている。

脆弱性のあるアプリ/クライアントと緩和のためのアドバイス

多数のコンシューマー/エンタープライズ・グレードの VPN ソリューションをテストした結果として、Apple/Windows/Linux デバイス向けの大半の VPN が、前述の攻撃に対して脆弱であることが判った。Android では、脆弱な VPN アプリは 25% 程度であり、おそらく、注意深く設計された API が貢献しているものと思われる。

Windows/macOS/iOS に関しては、ビルトインされた VPN クライアントも脆弱であり、Linux の一部でも脆弱である。

研究者たちは、これらの脆弱性の悪用については検知していないが、もし悪用されていたとしても、発見するのは難しいだろうとも述べている。

研究者たちは、発見した脆弱性について多数の VPN ベンダーに通知したという。これらのベンダーの中には、アップデートのリリース・ノートでバグに言及することなく、そのバグを FIX しているところもある (研究結果が公表されるまで秘密にしておきたいという研究者の要求に従うため) 。

多様なデバイスでテストされた、VPN アプリの一覧リストは、研究者の論文の最後に掲載されているので、使用中のアプリが含まれているかどうかを確認し、もし含まれているのであれば、ベンダーがバグを修正したかどうかを確認することが推奨される。その情報が公開されていない場合は、ベンダーのテクニカル・サポートに問い合わせてみるのもよいだろう。

研究者たちは、「パッチが適用された VPN の例として挙げられるのは、Mozilla VPN/Surfshark/Malwarebytes/Windscribe (OpenVPN プロファイルのインポートが可能)/Cloudflare WARP などである」としている。

Cisco は、Linux/macOS/Windows 用の、Cisco Secure Client と AnyConnect Secure Mobility Client に、脆弱性 CVE-2023-36672 が存在していることを確認している。ただし、デフォルトではない、特定のコンフィグレーションにおいてのみ、この脆弱性が影響するとしている。Mullvad は、iOS アプリのみが LocalNet 攻撃に対して脆弱であると述べている。

研究者たちは、「VPN のアップデートが利用できない場合には、ローカル・ネットワークへのアクセスを無効化することで、LocalNet 攻撃を軽減できる。また、Web サイトで HTTPS が使用されていれば、攻撃を軽減できる」と述べている。

大事にならなければ良いなぁと思う、VPN の脆弱性です。お隣のキュレーション・チームに聞いてみたところ、CVE-2023-36672/CVE-2023-36673 は Cisco AnyConnect の脆弱性として、CVE-2023-35838 は Wireguard、CVE-2023-36671 は Clario として、いずれも8月に拾っているとのことでした。なお、CVSS 値は、5.5〜6.3 とのことです。