Khi một thiết bị kết nối với một mạng từ xa thông qua một đường hầm VPN, lưu lượng mạng của máy đi qua đường hầm này được mã hóa và bảo mật. Tùy thuộc vào cấu hình của VPN, toàn bộ lưu lượng có thể đi qua VPN (full VPN) hoặc chỉ một số luồng nhất định (split VPN). Ngoài ra, VPN có thể được sử dụng để truy cập Internet trong khi ẩn địa chỉ IP công khai, có thể coi đây là một trong những “chức năng” của các VPN dành cho người dùng phổ thông. Chính chức năng này đang bị ảnh hưởng trực tiếp bởi TunnelVision.
Lỗ hổng TunnelVision được gán mã định danh là CVE-2024-3661 (điểm CVSS: 7,6), khai thác lỗi cơ bản trong quá trình các thiết bị trên mạng cục bộ xử lý định tuyến, dẫn đến việc bỏ qua toàn bộ cơ chế bảo mật của VPN. Khác với các phương pháp trước đây yêu cầu tấn công phức tạp vào các máy chủ VPN, TunnelVision hoạt động ở mạng cục bộ, điều này khiến cho việc khai thác dễ dàng hơn và gây ảnh hưởng đến bất kỳ thiết bị nào sử dụng VPN dựa trên định tuyến.
Để khai thác lỗ hổng TunnelVision, các tác nhân đe dọa phải thiết lập một cấu hình đặc biệt trên một máy chủ DHCP. Cụ thể, kẻ tấn công phải cấu hình tùy chọn 121 của giao thức DHCP có tên là “Classless static route”. Đây là chức năng phân phối một hoặc nhiều tuyến đường đi bổ sung cho DHCP client.
Như vậy, kẻ tấn công có thể tạo ra những tuyến đường này với mức độ ưu tiên cao hơn so với các tuyến đường được xác định bởi kết nối VPN, từ đó có thể điều hướng lưu lượng VPN đến cổng ra mà chúng muốn.
Điều này có thể đạt được mà không cần phải tấn công các cơ sở hạ tầng mạng quan trọng như máy chủ DHCP. Các chuyên gia bảo mật đã chỉ ra rằng: “TunnelVision là một kỹ thuật gây rò rỉ VPN trên mạng cục bộ cho phép kẻ tấn công đọc, ngắt kết nối và đôi khi sửa đổi lưu lượng VPN từ một mục tiêu trên mạng cục bộ”.
Kẻ tấn công cần phải ở trên cùng một mạng cục bộ với nạn nhân và chúng phải có khả năng thay đổi cấu hình của máy chủ DHCP (hoặc sử dụng một máy chủ DHCP Rogue).
TunnelVision được xác nhận ảnh hưởng đến nhiều hệ điều hành hỗ trợ tùy chọn tuyến đường DHCP 121, bao gồm Windows, Linux, iOS và MacOS.
Hệ điều hành Android không bị ảnh hưởng đáng kể do không hỗ trợ tùy chọn DHCP 121. Phát hiện này đặc biệt đáng lo ngại đối với cá nhân và tổ chức phụ thuộc vào VPN để bảo vệ quyền riêng tư và bảo mật, đặc biệt là những nhà báo, những nhà hoạt động chính trị sử dụng các dịch vụ này để che giấu hoạt động của họ khỏi các thế lực đối địch.
Nghiên cứu còn cho thấy rằng, trong khi hầu hết lưu lượng VPN thương mại được mã hóa qua HTTPS, việc tiết lộ siêu dữ liệu (như địa chỉ đích) vẫn gây ra rủi ro lớn đối với quyền riêng tư. Hơn nữa, bất kỳ lưu lượng qua HTTP cũng không được bảo vệ hoàn toàn, gây lộ tất cả dữ liệu được truyền đi.
Việc điều hướng lưu lượng dường như không ngăn cản việc đường hầm VPN hoạt động và điều này cũng không kích hoạt tính năng bảo vệ “kill switch” tích hợp trong một số VPN.
Mô tả đánh giá và mức độ nguy hiểm của lỗ hổng TunnelVision
Để phòng tránh trước mối đe dọa này, người dùng chú ý cần tránh sử dụng VPN trên các mạng không đáng tin cậy mà không có các biện pháp bảo vệ bổ sung, như phân chia mạng hoặc cài đặt tường lửa nâng cao.
Bên cạnh đó, việc tạo ra quy tắc tường lửa trên thiết bị cục bộ là một cách để tự bảo vệ khỏi cuộc tấn công gây ra bởi lỗ hổng TunnelVision. Đồng thời, việc kích hoạt một số biện pháp bảo vệ như DHCP Snooping cũng có thể hữu ích. Vì TunnelVision không phụ thuộc vào giao thức VPN được sử dụng, vậy nên không có giao thức nào được ưu tiên hơn một giao thức khác (OpenVPN, IPsec, WireGuard,…).
Từ kết quả nghiên cứu của Cronce và Moratti có thể thấy được tầm quan trọng về hiệu quả của VPN trong việc bảo vệ quyền riêng tư của người dùng trên các mạng cục bộ. Trong đó nhấn mạnh trách nhiệm chung giữa các nhà cung cấp VPN, người dùng và các nhà phát triển hệ điều hành để đánh giá lại và củng cố các khung bảo mật xung quanh việc sử dụng VPN.
Nguyễn Lê Minh
(Tổng hợp)
09:00 | 17/04/2024
13:00 | 17/06/2024
10:00 | 26/04/2024
08:00 | 04/05/2024
17:00 | 14/01/2025
Tết Nguyên đán Ất Tỵ 2025 đang đến gần, nhu cầu mua sắm, đặt vé máy bay và vé xe của người dân trên cả nước tăng cao. Đây cũng là thời điểm đối tượng lừa đảo lợi dụng để thực hiện các hành vi chiếm đoạt tài sản.
11:00 | 05/12/2024
Trong 02 ngày 03 - 04/12/2024, tại Học viện Kỹ thuật mật mã, đã diễn ra Hội thảo khoa học quốc tế về mật mã và an toàn thông tin lần thứ nhất (VCRIS 2024). Đây là một diễn đàn học thuật, một sự kiện quốc tế đầu tiên tại Việt Nam về lĩnh vực mật mã và an toàn thông tin, thu hút được sự chú ý đặc biệt của các nhà khoa học, nhà nghiên cứu, các nghiên cứu sinh trong lĩnh vực này.
15:00 | 21/11/2024
Sáng ngày 21/11, tại Hà Nội, dưới sự bảo trợ của Bộ Thông tin và Truyền thông (TT&TT), Hiệp hội An toàn thông tin Việt Nam (VNISA) phối hợp cùng Cục An toàn thông tin (Bộ TT&TT) tổ chức Hội thảo và Triển lãm Ngày An toàn thông tin Việt Nam 2024 với chủ đề “An toàn thông tin cho hạ tầng dữ liệu và nền tảng số quốc gia”.
09:00 | 20/11/2024
Nhân dịp kỷ niệm 20 năm đào tạo ngành An toàn thông tin tại Học viện Kỹ thuật mật mã (2004 - 2024), Trưởng ban Ban Cơ yếu Chính phủ vừa gửi lời chúc tới Ban Giám đốc, các thầy cô giáo cùng toàn thể cán bộ, nhân viên, học viên và sinh viên của Học viện. Dưới đây là toàn văn bức thư.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025