TunnelVision という新たな VPN トンネル侵害:DHCP サーバのオプションを悪用する手法とは?

New ‘TunnelVision’ Technique Leaks Traffic From Any VPN System

2024/05/08 SecurityWeek — DHCP のビルトイン機能を悪用して VPN トンネルを強制的に外すという、新たな VPN バイパス・テクニックを用いる脅威アクターは、被害者のトラフィックを盗み見ることが可能になると、ペンテスト会社 Leviathan Security Group が警告している。この TunnelVision と呼ばれるテクニックは、送信するネットワーク・トラフィックをコンピュータが決定するために用いる、一連のルールである Route Table 操作に依存するものだ。それにより攻撃者は、DHCP サーバを侵害することなく、この手法を使用できるという。


このテクニックは 、Classless Static Route (option 121) などのメッセージが認証されず、メッセージの改ざんなどの危険が生じるという、DHCP の設計上の欠陥 CVE-2024-3661 を悪用するものである。

NIST のアドバイザリには、「DHCP メッセージを送信する能力を持つ攻撃者は、VPN トラフィックをリダイレクトするためのルート操作が可能である。それにより攻撃者は、VPN が保護するはずのネットワーク・トラフィックの読み取りを可能とし、場合によっては変更も可能にする」と記されている。

この脆弱性の悪用に成功したローカル・ネットワーク上の攻撃者は、VPN ではなく LAN にトラフィックをリダイレクトできる。Leviathan Security Group は、このバイパスを “decloaking” と呼んでおり、TunnelVision の技術的な詳細の中で公開している。

攻撃を仕掛ける脅威アクターは、被害者と同じネットワーク上にいればよいと、Leviathan は説明している。しかし、”decloaking” を成功させる前提として、標的となるホストが、攻撃者がコントロールするサーバからの DHCP リースを受け入れ、さらに、ホストの DHCP クライアントが option 121 を実装している必要がある。

Leviathan によると、真の DHCP サーバをターゲットに starvation 攻撃を行い、ブロードキャストへの応答を競合させ、ARP スプーフィングを行うことで、被害者の DHCP サーバになりすます。それにより、クライアントと真の DHCP サーバの間のトラフィックを傍受できるという。

同社は、「私たちのテクニックは、ターゲットとする VPN ユーザーと同じネットワーク上で DHCP サーバを実行し、さらに私たちの DHCP コンフィグをゲートウェイとして使用するように設定することだ。それにより、トラフィックがゲートウェイにぶつかると、DHCP サーバのトラフィック転送ルールを使って、正当なゲートウェイにトラフィックを通過させ、その間にトラフィックを盗み見ることが可能となる」と説明している。

この攻撃が進行している間において、被害者には偽の表示が示されるため、依然として VPN に接続されていると信じると、Leviathan は指摘している。

このセキュリティ上の欠陥は、VPN のプロバイダーや実装に依存しないため、IP ルーティングをベースとする大半の VPN システムが、TunnelVision の影響を受けると考えられる。

Leviathan は、「この脆弱性は、 option 121 が導入された、2002年以降の DHCP に存在している。したがって、すでに攻撃手法が発見され、潜在的に使用されている可能性があるかもしれない」と述べている。

VPN ユーザーのプライバシーに影響を与えずに、実施できる緩和策として考えられるのは、VPN プロバイダーがサポートする OS にネットワーク・ネームスペースを実装することだ 。この機能は、Linux システムにおいて利用可能である。

この脆弱性は広範な意味を持つため、Leviathan は Electronic Frontier Foundation (EFF) と CISA に報告し、公開前に 50社以上のベンダーに通知するというアクションに貢献した。

DHCP のビルトイン機能を悪用して VPN トンネルを強制的に外すという、新たな VPN バイパス・テクニックが発見され、TunnelVision と名付けられたようです。 そして、VPN から LAN にトラフィックをリダイレクトできる、”decloaking” という具体的な攻撃手法が確認されたとのことです。なお、DHCP の問題については、GitHub に解説があります。よろしければ、VPN で検索も、ご利用ください。