The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi

18.07.2024 11:35

Группа исследователей из канадских и американских университетов разработала технику атаки Port Shadow, позволяющую через манипуляцию с таблицами трансляции адресов на стороне VPN-сервера добиться отправки ответа на запрос другому пользователю, подключённому к тому же VPN-серверу. Метод может быть использован для организации перехвата или перенаправления шифрованного трафика, проведения сканирования портов и деанонимизации пользователей VPN. В качестве примера показано как можно использовать метод для перенаправления на хост атакующего DNS-запросов пользователя, работающего через VPN-сервер, к которому в качестве клиента имеет возможность подключиться атакующий.

Для совершения атаки злоумышленник должен иметь возможность подключения к одному VPN-серверу с жертвой, что возможно, например, при использовании типовых VPN-операторов и публичных VPN-сервисов, предоставляющих доступ всем желающим. Уязвимость затрагивает VPN-серверы, использующие трансляцию адресов (NAT) для организации обращения клиентов к внешним ресурсам, при том, что для приёма трафика от клиентов и отправки запросов к внешним сайтам на сервере должен использоваться один и тот же IP-адрес.

Атака основана на том, что через отправку специально оформленных запросов атакующий, подключённый к тому же VPN-серверу и использующий общий NAT, может добиться искажения содержимого таблиц трансляции адресов, которое приведёт к тому, что пакеты, адресованные одному пользователю, будут направлены другому пользователю. В таблицах трансляции адресов информация о том, с каким внутренним IP-адресом сопоставлен отправленный запрос, определяется на основе номера исходного сетевого порта, использованного при отправке запроса. Атакующий через отправку определённых пакетов и одновременных манипуляций со стороны клиентского соединения к VPN-серверу и со стороны подконтрольного атакующего внешнего сервера может добиться возникновения коллизии в таблице NAT и добавления записи с тем же номером исходного порта, но ассоциированной с его локальным адресом, что приведёт к тому, что ответы на чужой запрос будут возвращены на адрес атакующего.

В ходе исследования были протестированы системы трансляции адресов Linux и FreeBSD в сочетании с VPN OpenVPN, OpenConnect и WireGuard. Платформа FreeBSD оказалась не подвержена методам атаки по перенаправлению запросов, осуществляемым со стороны других пользователей, подключённых к тому же VPN. Подстановку в таблицы NAT удалось совершить только в ходе атаки ATIP (Adjacent-to-In-Path), при которой атакующий может вклиниться в трафик между пользователем и VPN-сервером (например, когда пользователь подключается к подконтрольной атакующему сети Wi-Fi) или между VPN-сервером и целевым сайтом. При этом NAT FreeBSD также затронула атака, позволяющая определить факт подключения пользователя к определённому сайту (Connection Inference).

Что касается Linux, то подсистема Netfilter оказалась подвержена атакам по подстановке записей в таблицу трансляции адресов, позволяющим перенаправить входящие пакеты другому пользователю, добиться отправки пакетов вне шифрованного VPN-канала (Decapsulation) или определить открытые сетевые порты на стороне клиента.

В качестве мер для блокирования атаки VPN-провайдерам рекомендуется использовать адекватные методы рандомизации номеров исходных портов в NAT, ограничить число допустимых одновременных соединений к VPN-серверу от одного пользователя, а также блокировать возможность выбора клиентом сетевого порта, принимающего запросы на стороне VPN-сервера.

По мнению представителя компании Proton AG, атака не затрагивает VPN-сервисы, в которых используются раздельные IP для входящих и исходящих запросов. Кроме того, имеются сомнения в возможности применения атаки к реальным VPN-сервисам, так как успешная атака пока продемонстрирована только в лабораторных тестах и для её проведения требуется выполнение определённых условий на стороне VPN-сервера и атакуемого клиента. Кроме того, атака может быть полезна только для манипуляций с незашифрованными запросами, такими как обращение к DNS, в то время как использование TLS и HTTPS на уровне приложений делает перенаправление трафика бесполезным.


Манипулирующие с таблицами трансляции адресов атаки применимы не только к VPN, но и к беспроводным сетям, в которых для организации подключения пользователей к внешним ресурсам на точке доступа используется NAT. В прошлом месяце опубликованы результаты исследования возможности проведения похожей атаки по перехвату TCP-соединений других пользователей беспроводной сети. Метод атаки оказался применим к 24 из 33 протестированных беспроводных точек доступа.

Предложенная для Wi-Fi атака оказалась значительно проще, чем вышеотмеченный метод для VPN, так как из-за применения оптимизаций многие точки доступа не проверяют корректность номеров последовательностей в TCP-пакетах. В итоге, для атаки достаточно было отправить фиктивный RST-пакет для очистки записи в таблице трансляции адресов, а затем добиться направления ответа на хост атакующего для определения номеров последовательности (SEQ) и подтверждения (ACK), необходимых для перехвата TCP-соединения.



  1. Главная ссылка к новости (https://citizenlab.ca/2024/07/...)
  2. OpenNews: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP
  3. OpenNews: Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
  4. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
  5. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
  6. OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61571-vpn
Ключевые слова: vpn, attack, wifi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:08, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Очередной раз узнали то что итак все знали.
     
  • 1.2, Аноним (2), 12:47, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фаерволы с дефолтными настройками не смогли совладать с SYN-flood
     
  • 1.3, Аноним (3), 12:53, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > точки доступа не проверяют корректность

    Узнаю продакшн разработку.

     
     
  • 2.13, Аноним (13), 14:44, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А в чем проблема-то, весь IP построен на доверии, надо было сделать чтобы работало и работало на самом дешевом железе - сделали.

    А то, что через 30 лет, это досихпор используется и в том числе для приватных данных, так кто теперь виноват.

    На современном серийном оружие тоже нет распознавания биометрии пользователя, любой злодей может отобрать автомат и пойти чинить беспредел.

     
     
  • 3.20, Анонимус_WSL2 (?), 20:30, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А уж чего стоят обычные советские кухонные ножи!
    По статистике МВД - численно они на два-три порядка оказываются смертоносней огнестрела.
     

  • 1.4, Ананий (?), 12:59, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >natd

    серьезно? кто-то еще пользует юзерспейс нат?

     
     
  • 2.5, Аноним (5), 13:06, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разработчики уязвимостей очевидно
     
  • 2.22, Ivan_83 (ok), 21:30, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    С чего вы взяли что это был natd? В тексте оно не упоминается.
     
     
  • 3.27, Ананий (?), 10:15, 19/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    картинка в этой новости https://www.opennet.dev/opennews/pics_base/CFD0C5CECEC5D4_1721287948.png
     
  • 2.23, Аноним (23), 22:35, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда ты это процитировал?
     

  • 1.6, crypt (ok), 13:06, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    нужно быть админом сервера для этой "атаки", да?
     
     
  • 2.15, noc101 (ok), 15:03, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почти. Нужно получить рута на сервере.
    Что делается другими методами.
     

  • 1.7, Аноним (7), 13:18, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >Attacker 1.1.1.1

    Не любят авторы Cloudflare.

     
     
  • 2.31, InuYasha (??), 14:50, 22/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И правильно делают! Потому что...

    [ To continue reading please enter CAPTCHA ]

    Sorry, this content is not available in your country.

    Sorry, your browser is not supported.

    Guru meditation: 0xffffffff

     

  • 1.8, КО (?), 13:31, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "иметь возможность подключения к одному VPN-серверу с жертвой, что возможно, например, при использовании типовых VPN-операторов и публичных VPN-сервисов"
    Ой, я бы на это посмотрел, теоретики британские
     
     
  • 2.9, Аноним (1), 13:42, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чувствуется твой страх, который ты пытаешься победить аппелируя к британскости теоретиков.
     
     
  • 3.17, a (??), 17:50, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какой страх? Что кто-то максимум в DNS-кеш нагадит? Так даже он через TLS идет.
     
  • 3.21, scriptkiddis (?), 21:21, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но британские теоретики же...
     
  • 2.14, Аноним (13), 14:48, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    наивный, давно используется подобное, крупные компании могут позволить себе пособирать информацию о своих сотрудниках, есть компании которые предоставляют такие услуги, просто сбор данных из открытых источников, ничего противозаконного, затого на выходе много интересного
     

  • 1.10, Скреподух (?), 13:49, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Очередная «уязвимость», которая уязвимостью является только в тепличных специально созданных условиях.
     
  • 1.11, Аноним (11), 13:57, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Что касается Linux, то подсистема Netfilter оказалась подвержена

    А почему в таблице подверженность атаке отображается зелёным, а неподверженность - красным?

     
     
  • 2.12, Аноним (23), 14:16, 18/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это с точки зрения атакующего
     

  • 1.24, Be My Baby (?), 22:51, 18/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так, кто изнасиловал журналиста?
    Какие SYN, ACK и RST для UDP DNS? Или они надеются, что все автоматом апгрейдятся до TCP DNS?
     
     
  • 2.25, bOOster (ok), 09:29, 19/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    +100500 - я тоже читал, читал и никак понять не мог - откуда для UDP вообще взялись свойства TCP :)
    Хотя может fallback какой-нить не отвечает по UDP - бомби по TCP...
     
  • 2.26, Аноним (26), 10:09, 19/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там разные методы, один простейший для udp, а другой поизощренней для tcp, который используется для сканирования портов.
     

  • 1.28, Аноним (28), 12:10, 19/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    поможет ли изоляция клиентов друг от друга / запрет на коммуникацию между vpn интерфейсом через iptables например?
     
  • 1.29, mma (?), 14:43, 19/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Изобретататели и исследователи хайлевел)
     
  • 1.30, Аноним (30), 00:50, 20/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    S в NAT обозначает «security».
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру