Hace poco se dio a conocer información sobre una serie de vulnerabilidades descubiertas, las cuales fueron bautizadas bajo el nombre de «TunnelCrack» y las cuales son notablemente importantes, ya que permiten atacar VPN.
La esencia de Tunnelcrack permite básicamente a un atacante que controla el punto de acceso de la víctima redirija las solicitudes del host de destino a su servidor, sin pasar por el túnel VPN, lo que se traduce en que el atacante pueda organizar la interceptación del tráfico sin cifrar.
Cómo me afectan estas vulnerabilidades
Si utilizas un servicio de VPN, o te conectas al servidor VPN de tu hogar, podrían comprometer la comunicación supuesta cifrada. Según las pruebas realizadas, es muy probable que todos los clientes VPN para iOS y macOS estén afectados, también la mayoría de VPN para los sistemas operativos Windows y Linux están afectados, mientras que el sistema operativo Android es el más seguro, solamente una cuarta parte de las aplicaciones VPN son vulnerables en este sistema operativo.
El principal problema es que se pueden explotar estas vulnerabilidades independientemente del protocolo de seguridad usado, es decir, las VPN que disponen de «cifrado de grado militar» también están afectadas, ya que este ataque no se centra en la criptografía que hay en el túnel, sino en realizar varios ataques fuera de este túnel, y que provoca que se pueda exponer información privada a cualquier ciberdelincuente que te esté atacando.
La gran mayoría de fabricantes y empresas relacionadas con las VPN están actualizando sus aplicaciones para resolver este problema tan grave que se ha descubierto, con el objetivo de evitar que un ciberdelincuente pueda forzarnos a enviar tráfico fuera del túnel, algo que permitiría al atacante capturar todos nuestros datos completamente descifrados, e incluso realizar ataques Man in the Middle avanzados modificando el tráfico al vuelo, como si no estuviéramos usando un servicio de VPN.
La idea central detrás de nuestros ataques es manipular al cliente VPN para que envíe tráfico fuera del túnel VPN protegido. Al hacerlo, el tráfico de la víctima se puede leer e interceptar.
Los investigadores menciona que un ataque puede llevarse a cabo, por ejemplo, cuando se conecta a través de un proveedor de internet no confiable o una red inalámbrica desplegada por los atacantes. Durante su estudio pudieron recabar la susceptibilidad de ataque de 67 clientes VPN y concluyeron que el primer método de ataque aparece en todos los clientes VPN probados para todos los sistemas de escritorio y móviles, siendo iOS el más susceptible con un grado del 87%.
Nuestras pruebas indican que cada producto VPN es vulnerable en al menos un dispositivo . Descubrimos que es muy probable que las VPN para iPhone, iPad, MacBook y macOS sean vulnerables, que la mayoría de las VPN en Windows y Linux son vulnerables, y que Android es el más seguro con aproximadamente una cuarta parte de las aplicaciones VPN vulnerables.
Se puede abusar de las vulnerabilidades descubiertas independientemente del protocolo de seguridad utilizado por la VPN. En otras palabras, incluso las VPN que afirman que usan «cifrado de grado militar» o que usan protocolos de cifrado desarrollados por ellos mismos pueden ser atacadas. La causa raíz de ambas vulnerabilidades ha sido parte de las VPN desde su primera creación alrededor de 1996. Esto significa que nuestras vulnerabilidades pasaron desapercibidas, al menos públicamente, durante más de dos décadas.
Sobre los métodos de ataque identificados se mencionan los siguientes:
- LocalNet, el cual se basa en el hecho de que la mayoría de los clientes VPN permiten el acceso directo a la red local. El ataque se reduce al hecho de que la puerta de enlace controlada por el atacante le da a la víctima una dirección IP de la subred en la que se encuentra el host de destino, cuyo tráfico debe ser interceptado. La pila de redes del sistema del usuario considera que el host está al alcance directo y dirige el tráfico directamente a la puerta de enlace del atacante en lugar de a través de la VPN.
- ServerIP, el cual su método se basa en el hecho de que muchos clientes de VPN no cifran el tráfico en la dirección IP de su servidor VPN para evitar que los paquetes se vuelvan a cifrar. La esencia del ataque es que el atacante, que controla la red local y el servidor DNS, puede asignar una dirección IP al dominio cuyas solicitudes se van a interceptar que coincida con la dirección IP del servidor VPN. Cuando se accede al dominio de destino, el cliente VPN supondrá que se está accediendo a un servidor VPN y enviará paquetes a través del túnel VPN sin cifrar.
Se menciona que para proteger a los usuarios y respetando el proceso de divulgación de una vulnerabilidad se prepararon las actualizaciones de seguridad correspondientes en una colaboración coordinada con CERT/CC y varios proveedores de VPN. Dentro de las VPN parcheadas que se mencionan están por ejemplo Mozilla VPN, Surfshark, Malwarebytes, Windscribe y WARP de Cloudflare.
Como medida secundaria y/o en caso de que no estén disponibles las correcciones, se menciona que se puede mitigar el ataque de LocalNet deshabilitando el acceso a la red local. También se puede mitigar los ataques asegurándose de que los sitios web usen HTTPS, que muchos sitios web admiten hoy en día.
¿Se ha corregido ya el problema?
Con la finalidad de proteger a los usuarios, se han lanzado días atrás las correspondientes actualizaciones de seguridad durante una divulgación coordinada de 90 días, en colaboración con CERT/CC y varios proveedores de VPN. Por ejemplo, Mozilla VPN, Surfshark, Malwarebytes, Windscribe y WARP de Cloudflare ya están parcheadas. Muy pronto muchas otras empresas también lanzarán parches para solucionar o mitigar el problema en el lado del cliente VPN. En el caso de que no tengas actualizaciones para tu VPN, se podría mitigar el ataque de LocalNet deshabilitando el acceso a la red local. Por supuesto, el problema se mitiga usando siempre HTTPS para todas las comunicaciones, pero lamentablemente solamente los sitios web que tengan HSTS nos garantizan que siempre la conexión será por HTTPS.
Mientras que la mayoría de los fabricantes y empresas han reaccionado muy rápido para resolver este problema, debemos destacar que Microsoft no planea lanzar ningún parche para solucionar esta vulnerabilidad, porque creen que esto realmente no es un fallo, que es un comportamiento por diseño y que de ninguna forma se puede filtrar información una vez que se ha establecido el túnel. El equipo de investigadores ha demostrado que esto no es cierto, y creen que Microsoft no ha entendido bien los ataques.
En el caso de los DNS, teniendo en cuenta que la mayoría de peticiones todavía se usa DNS puro y no las alternativas privadas como DNS over TLS o DNS over HTTPS, en este caso, la solución pasaría por usar DoT o DoH para protegernos y evitar que un ciberdelincuente pueda ver y manipular las peticiones DNS que realicemos. En muchos casos, se usan las VPN para encapsular otros protocolos que no son seguros, como el protocolo RDP, FTP o Telnet entre otros. En estos casos, un ciberdelincuente podría eliminar la protección que ofrecen las VPN, y hacerse con las credenciales de acceso de estos protocolos inseguros, por lo tanto, debes tener mucho cuidado a partir de ahora.
En el caso de que utilices OpenVPN para conectarte de forma remota a tu red local doméstica, la recomendación de los investigadores de seguridad es que uses el cliente de Windscribe, ya que es el único cliente OpenVPN de código abierto que no tiene este problema de seguridad en las últimas versiones. Si usas la aplicación o programa oficial de OpenVPN, tendrás que esperar unas semanas para estar completamente seguros a la hora de conectarte, por tanto, debes tenerlo muy en cuenta si piensas conectarte a redes WiFi públicas y usar este túnel VPN porque ahora mismo no es nada seguro.
Os recomendamos visitar la web oficial de esta vulnerabilidad TunnelCrack donde encontraréis todos los detalles técnicos, incluyendo el paper con toda la investigación y pruebas de los diferentes servicios de VPN.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
