資安業者揭露可外洩VPN流量的安全漏洞TunnelVision

資安業者Leviathan Security Group周一（5/6）揭露了一個名為TunnelVision的安全漏洞，它可將用戶的VPN流量外洩給位於同一區域網路上的駭客，其漏洞編號為CVE-2024-3661。

根據研究人員的說明，TunnelVision是個可繞過VPN封裝的新型網路技術，藉由作業系統所內建的、用來自動分配IP位址的動態主機配置協定（Dynamic Host Configuration Protocol，DHCP），就可迫使目標使用者的流量離開VPN通道，進而讓駭客可窺探其流量，由於此一手法並未破壞VPN所控制的通道，因而不會觸發VPN的網路自動斷開（Kill Switch）機制，而讓使用者誤以為自己的流量仍受到VPN保護。

於是，倘若使用者連結的對象是個HTTP網站，那麼傳輸內容將會被一覽無遺，若是造訪加密的HTTPS網站，駭客就只能察看使用者所連結的對象。此一技術自2002年便存在，但無法確定是否曾被濫用。

駭客的攻擊方式是企圖成為攻擊目標的DHCP伺服器，包括設立一個流氓DHCP伺服器，取代合法的DHCP伺服器來回應用戶，或是透過位址解析協定（Address Resolution Protocol，ARP）欺騙來攔截DHCP伺服器及客戶端之間的流量，並將流量導至VPN之外。

嚴格來說TunnelVision並不算是VPN服務的安全漏洞，因為它並未破壞VPN的加密安全技術，且VPN的功能依然健全，駭客只是迫使目標對象偏離VPN通道。而Leviathan亦將TunnelVision解釋成DHCP、路由表與VPN的運作方式。

由於簡單地移除DHCP功能是不可行的，可能造成某些合法連線中斷，因此Leviathan建議VPN業者在支援它們的作業系統上導入網路命名空間（Namespace），以讓介面及路由表脫離區域網路的控制，而除了內建命名空間的Linux之外，Leviathan也建議其它作業系統採用Namespace。

Leviathan已找到在Linux系統上防範TunnelVision攻擊的緩解措施，但此一措施存在一個側通道，可被用來執行針對性的阻斷服務攻擊，或是藉由流量分析將流量目的去匿名化。

儘管這並不真的算是VPN漏洞，但Leviathan已透過電子前線基金會（EFF）及CISA通知了全球逾50個VPN供應商，另也提醒VPN業者不應誇大VPN的安全性，因為它們並無法保證使用者在不受信任網路上的流量可被保護，例如公共Wi-Fi。