Questa settimana, un gruppo di ricercatori della New York University e dell'imec-DistriNet, insieme ad altre istituzioni, ha svelato due nuove tecniche di attacco note collettivamente come TunnelCrack.
Queste tecniche, se sfruttate nelle giuste condizioni, potrebbero potenzialmente consentire agli intercettatori di reindirizzare il traffico di rete criptato al di fuori delle reti private virtuali (VPN) sicure. Questa scoperta ha suscitato preoccupazioni per la sicurezza dei dati, spingendo gli esperti a esaminare le vulnerabilità e le potenziali conseguenze.
I risultati dei ricercatori indicano che queste vulnerabilità interessano un'ampia gamma di client VPN, suscitando un notevole allarme nella comunità della sicurezza informatica.
Secondo il paper dei ricercatori, sono stati testati più di 60 client VPN e i ricercatori hanno concluso che praticamente tutte le app VPN su piattaforme iOS erano suscettibili a questi attacchi.
Mentre Android ha mostrato un livello di sicurezza più elevato rispetto alle sue controparti, circa il 25% delle app VPN su questa piattaforma è risultato vulnerabile.
Questi attacchi, noti come LocalNet e ServerIP, sfruttano la capacità di reindirizzare il traffico di rete e di manomettere le configurazioni VPN. L'attacco LocalNet consiste nell'attirare le vittime a connettersi a reti dannose, consentendo così agli aggressori di reindirizzare il traffico attraverso la propria rete. Ciò può portare all'osservazione di dati sensibili da parte degli aggressori. D'altro canto, l'attacco ServerIP sfrutta il fatto che alcune VPN non criptano il traffico diretto verso l'indirizzo IP del server VPN, esponendo potenzialmente informazioni riservate.
Così il team spiega il funzionamento dell'attacco:
"Nell'attacco ServerIP, sfruttiamo l'osservazione che molte VPN non criptano il traffico verso l'indirizzo IP del server VPN. Questo per evitare una nuova crittografia dei pacchetti.Ad esempio, supponiamo che il server VPN sia identificato con l'hostname vpn.com e che l'indirizzo IP reale del server VPN sia 2.2.2.2. Supponiamo che l'avversario voglia intercettare il traffico verso target.com, che ha l'indirizzo IP 1.2.3.4.
L'avversario innanzitutto falsifica la risposta DNS di vpn.com per restituire l'indirizzo IP 1.2.3.4, che corrisponde all'indirizzo IP di target.com.
La vittima si connetterà quindi con il server VPN all'indirizzo 1.2.3.4. Per assicurarsi che la vittima riesca comunque a creare una connessione VPN, l'avversario reindirizza il traffico verso il vero server VPN. Durante la creazione della connessione VPN, la vittima aggiunge una regola di routing in modo che tutto il traffico verso il server VPN, in questo caso l'indirizzo IP spoofed 1.2.3.4, venga inviato all'esterno del tunnel VPN.
Quando la vittima visita ora target.com, una richiesta web viene inviata a 1.2.3.4. A causa della regola di routing appena aggiunta, questa richiesta viene inviata all'esterno del tunnel VPN protetto."
Nonostante queste vulnerabilità, gli esperti consigliano che le connessioni sicure che impiegano la crittografia prima di entrare nel tunnel VPN, come HTTPS e SSH, non sono interessate da queste tecniche. Tuttavia, le connessioni in chiaro potrebbero essere a rischio.
Molti fornitori hanno reagito prontamente alla scoperta. Cisco, ad esempio, ha pubblicato un avviso che riconosce l'impatto degli attacchi sui suoi prodotti VPN e illustra le configurazioni interessate. Ivanti ha fornito ai propri clienti una guida alla configurazione per contrastare le vulnerabilità. Nel frattempo, Mullvad ha lavorato attivamente a una soluzione per i suoi clienti VPN colpiti, riconoscendo le difficoltà che comporta l'implementazione delle misure di sicurezza necessarie.
ExpressVPN ha già affrontato il problema rilasciando un aggiornamento che riguarda specificamente l'app iOS, offrendo agli utenti una maggiore protezione contro le attività di TunnelCrack. Inoltre, l'app ora notifica agli utenti i potenziali rischi e suggerisce misure preventive.
Nord Security, che ha trovato anche i suoi client VPN per macOS e iOS vulnerabili a questi attacchi, è stata proattiva nell'implementare modifiche alle sue app. Ha interrotto il supporto per le versioni obsolete di iOS e ha integrato funzioni per garantire la sicurezza delle sue connessioni VPN.
Alla luce di questi risultati, molti operatori del settore della sicurezza informatica chiedono ai fornitori di VPN e agli sviluppatori di piattaforme di dare priorità alla risoluzione di queste vulnerabilità. Apple, che non ha ancora risposto alle richieste di informazioni sul suo piano per affrontare TunnelCrack, è particolarmente sotto scrutinio dato l'impatto significativo sui dispositivi iOS.
Mentre gli esperti continuano a esaminare le complessità degli attacchi TunnelCrack, è evidente che la sicurezza informatica rimane una battaglia continua. Si consiglia agli utenti di rimanere vigili, di mantenere aggiornato il proprio software VPN e di prendere le precauzioni necessarie per proteggere i propri dati sensibili da potenziali violazioni.