Protocolos de tunelamento não seguros expõem 4,2 milhões de hosts, incluindo VPNs e roteadores

Sticky 22/01/2025
vpns
Visualizações: 2

Uma nova pesquisa descobriu vulnerabilidades de segurança em vários protocolos de tunelamento que podem permitir que invasores realizem uma ampla gama de ataques.

“Hosts de Internet que aceitam pacotes de tunelamento sem verificar a identidade do remetente podem ser sequestrados para realizar ataques anônimos e fornecer acesso às suas redes”, disse o Top10VPN em um estudo, como parte de uma colaboração com o professor e pesquisador da KU Leuven, Mathy Vanhoef.

Cerca de 4,2 milhões de hosts foram considerados suscetíveis aos ataques, incluindo servidores VPN, roteadores domésticos de ISP, roteadores de internet core, gateways de rede móvel e nós de rede de entrega de conteúdo (CDN). China, França, Japão, EUA e Brasil estão no topo da lista dos países mais afetados.

A exploração bem-sucedida das deficiências pode permitir que um adversário abuse de um sistema suscetível como proxies unidirecionais, bem como conduza ataques de negação de serviço (DoS).

“Um adversário pode abusar dessas vulnerabilidades de segurança para criar proxies unidirecionais e falsificar endereços IPv4/6 de origem”, disse o CERT Coordination Center (CERT/CC) em um comunicado. “Sistemas vulneráveis ​​também podem permitir acesso à rede privada de uma organização ou ser abusados ​​para executar ataques DDoS.”

As vulnerabilidades estão enraizadas no fato de que os protocolos de tunelamento, como IP6IP6, GRE6, 4in6 e 6in4, que são usados ​​principalmente para facilitar transferências de dados entre duas redes desconectadas, não autenticam e criptografam o tráfego sem protocolos de segurança adequados, como o Internet Protocol Security ( IPsec ).

A ausência de barreiras de segurança adicionais abre caminho para um cenário em que um invasor pode injetar tráfego malicioso em um túnel, uma variação de uma falha que foi sinalizada anteriormente em 2020 ( CVE-2020-10136 ).

As falhas recentemente descobertas receberam os seguintes identificadores CVE para os protocolos em questão –

  • CVE-2024-7595 (GRE e GRE6)
  • CVE-2024-7596 (encapsulamento UDP genérico)
  • CVE-2025-23018 (IPv4 em IPv6 e IPv6 em IPv6)
  • CVE-2025-23019 (IPv6 em IPv4)

“Um invasor simplesmente precisa enviar um pacote encapsulado usando um dos protocolos afetados com dois cabeçalhos IP”, explicou Simon Migliano, do Top10VPN.

“O cabeçalho externo contém o IP de origem do invasor com o IP do host vulnerável como destino. O IP de origem do cabeçalho interno é o IP do host vulnerável, e não o do invasor. O IP de destino é o do alvo do ataque anônimo.”

Assim, quando o host vulnerável recebe o pacote malicioso, ele automaticamente remove o cabeçalho do endereço IP externo e encaminha o pacote interno para seu destino. Dado que o endereço IP de origem no pacote interno é o do host vulnerável, mas confiável, ele é capaz de passar pelos filtros de rede.

Como defesas, é recomendado usar IPSec ou WireGuard para fornecer autenticação e criptografia, e aceitar apenas pacotes de tunelamento de fontes confiáveis. No nível de rede, também é aconselhável implementar filtragem de tráfego em roteadores e middleboxes, realizar Deep packet inspector (DPI) e bloquear todos os pacotes de tunelamento não criptografados.

“O impacto sobre as vítimas desses ataques DoS pode incluir congestionamento de rede, interrupção de serviço, pois os recursos são consumidos pela sobrecarga de tráfego e queda de dispositivos de rede sobrecarregados”, disse Migliano. “Ele também abre oportunidades para exploração adicional, como ataques man-in-the-middle e interceptação de dados.”

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

AMD

AMD: Patches críticos Zen 5 microcode bug entregam novas BIOS com AGESA 1.2.0.3C

Sticky 25/04/2025

Os fornecedores de placas-mãe começaram a implantar atualizações de BIOS com base no firmware AGESA 1.2.0.3C. O novo BIOS aborda um ponto crítico segurança vulnerabilidade nos chips Zen 5 da AMD é encontrada no mês passado. Essa falha de segurança afeta os microprocessadores baseados em Zen em todas as linhas de produtos. Enquanto as atualizações […]

Transforming-self-xss-into-exploitable-xss

CISA Adiciona Falha de Cinco Anos do jQuery XSS à Lista de Vulnerabilidades Exploradas

Sticky 24/01/2025

Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) colocado uma falha de segurança agora corrigida que afeta a popular biblioteca JavaScript do jQuery às suas Vulnerabilidades Exploradas Conhecidas (KEVcatálogo, com base em evidências de exploração ativa. A vulnerabilidade de gravidade média é CVE-2020-11023 (CVSS score: 6.1/6.9), um bug de script cross-site (XSS) de quase cinco anos que poderia […]

Captura de tela 2025 01 14 110024

Vulnerabilidade de dia zero suspeita em ataques a firewalls Fortinet com interfaces expostas

Sticky 14/01/2025

Os caçadores de ameaças estão chamando a atenção para uma nova campanha que teve como alvo dispositivos de firewall Fortinet FortiGate com interfaces de gerenciamento expostas na internet pública. “A campanha envolveu logins administrativos não autorizados em interfaces de gerenciamento de firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias […]