Vulnérabilité CVE-2024-3661

Les chercheurs ont découvert une méthode nommée TunnelVision, une technique d'évasion de réseau privé virtuel (VPN) permettant aux acteurs malveillants d'intercepter le trafic réseau des victimes qui se trouvent sur le même réseau local.

Cette approche de « decloaking » a été identifiée avec l'identifiant CVE CVE-2024-3661. Cela affecte tous les systèmes d'exploitation intégrant un client DHCP prenant en charge les routes DHCP option 121. TunnelVision redirige essentiellement le trafic non chiffré via un VPN en exploitant un serveur DHCP contrôlé par un attaquant, qui utilise l'option de route statique sans classe 121 pour modifier la table de routage des utilisateurs VPN. Le protocole DHCP, de par sa conception, n'authentifie pas ces messages d'option, les exposant ainsi à des manipulations.

Le rôle du protocole DHCP

DHCP est un protocole client/serveur conçu pour attribuer automatiquement des adresses IP (Internet Protocol) et les détails de configuration associés tels que les masques de sous-réseau et les passerelles par défaut aux hôtes, leur permettant de se connecter à un réseau et à ses ressources.

Ce protocole facilite l'attribution fiable d'adresses IP via un serveur qui maintient un pool d'adresses disponibles et en attribue une à tout client compatible DHCP au démarrage du réseau.

Étant donné que ces adresses IP sont dynamiques (louées) plutôt que statiques (attribuées de manière permanente), les adresses qui ne sont plus utilisées sont automatiquement renvoyées au pool pour être réattribuées.

La vulnérabilité permet à un attaquant ayant la capacité d'envoyer des messages DHCP pour manipuler le routage, redirigeant ainsi le trafic VPN. Cet exploit permet à l'attaquant de potentiellement visualiser, perturber ou modifier le trafic réseau qui était censé être sécurisé sous le VPN. Étant donné que cette méthode fonctionne indépendamment des technologies VPN ou des protocoles sous-jacents, elle n'est absolument pas affectée par le fournisseur VPN ou l'implémentation utilisée.

La vulnérabilité CVE-2024-3661 peut affecter la plupart des principaux systèmes d'exploitation

Essentiellement, TunnelVision trompe les utilisateurs VPN en leur faisant croire que leurs connexions sont sécurisées et cryptées via un tunnel, mais les redirige vers le serveur de l'attaquant pour une éventuelle inspection. Pour réussir à exposer le trafic VPN, le client DHCP de l'hôte ciblé doit prendre en charge l'option DHCP 121 et accepter un bail du serveur de l'attaquant.

Cette attaque ressemble à TunnelCrack, qui fait fuir le trafic d'un tunnel VPN protégé lors de la connexion à des réseaux Wi-Fi non fiables ou à des FAI malveillants, conduisant à des attaques d'adversaire au milieu (AitM).

Le problème affecte les principaux systèmes d'exploitation tels que Windows, Linux, macOS et iOS, mais pas Android en raison du manque de prise en charge de l'option DHCP 121. Les outils VPN s'appuyant uniquement sur des règles de routage pour sécuriser le trafic sont également concernés.