Een samenwerking tussen Top10VPN en professor Mathy Vanhoef van de KU Leuven-universiteit heeft ernstige beveiligingsfouten aan het licht gebracht in veelgebruikte tunnelingprotocollen. Deze fouten treffen meer dan 4,2 miljoen hosts wereldwijd, inclusief VPNEen VPN, afkorting voor Virtual Private Network of virtueel privénetwerk…-servers, ISP-routers, mobiele netwerk nodes en apparaten van content distributienetwerken (CDNEen CDN, afkorting voor Content Delivery Network of inhoud leveringsnetwerk…). De meest getroffen landen zijn China, Frankrijk, Japan, de Verenigde Staten en Brazilië.
Onder bedreiging protocol: Kritieke kwetsbaarheden gedetecteerd
Het onderzoek toont aan dat protocollen zoals IPIP, GRE, 6in4 en 4in6, die gebruikt worden om gescheiden netwerken met elkaar te verbinden, geen authenticatie en versleuteling hebben tenzij ondersteund door extra beveiligingsmaatregelen zoals IPSec. Dit maakt het mogelijk voor aanvallers om kwaadaardig verkeer in de tunnels te injecteren, waardoor DoS-aanvallen, identiteitsfraude en ongeautoriseerde toegang tot privénetwerken worden vergemakkelijkt.
Hosts getroffen per protocol
| Protocol | Kwetsbare Hosts | Mogelijk tot Identiteitsfraude |
|---|---|---|
| IPIP | 530.100 | 66.288 |
| IP6IP6 | 217.641 | 333 |
| GRE | 1.548.251 | 219.213 |
| GRE6 | 1.806 | 360 |
| 4in6 | 130.217 | 4.113 |
| 6in4 | 2.126.018 | 1.650.846 |
In totaal zijn er meer dan 1,8 miljoen hosts die IP-adressen kunnen nabootsen, wat het identificeren van de aanvaller bemoeilijkt en de impact verergert.
Scannmethodologie en belangrijkste bevindingen
Het onderzoek bestreek de analyse van 3,7 miljard IPv4-adressen en 10 miljoen IPv6-adressen, met gebruik van technieken zoals spoofing en encapsulatie. De resultaten bevestigen dat veel van de kwetsbare hosts behoren tot thuisrouters en devices van kritieke infrastructuur.
Geografische spreiding van kwetsbare hosts
| Land | Kwetsbare Hosts |
|---|---|
| China | 726.194 |
| Frankrijk | 238.841 |
| Japan | 130.217 |
| Verenigde Staten | 66.288 |
| Brazilië | 31.872 |
Impact op specifieke apparaten
- VPN-servers
- Er werden 1.365 kwetsbare VPN-servers geïdentificeerd, inclusief consumentenapparaten en zakelijke oplossingen.
- Voorbeelden van getroffen diensten inclusief AoxVPN en de verouderde infrastructuur van AirFalconVPN.
- Thuisrouters
- 726.194 routers van Free (Frankrijk) lieten fouten zien in 6in4, waardoor lokale netwerken blootgesteld worden aan DoS-aanvallen en identiteitsfraude.
- Kritieke infrastructuur
- Routers in mobiele netwerken en CDN-nodes kwetsbaar voor aanvallen gebaseerd op GRE, wat diensten zoals BGP en GTP-U beïnvloedt.
Gedocumenteerde aanvalstechnieken
- Ping-Pong Amplificatie
- Creëert verkeerslussen tussen kwetsbare hosts, wat leidt tot netwerkoverbelasting.
- Tijdelijke tunnel lenzen (TuTL)
- Synchroniseert verkeersstromen om legitieme diensten te verstoren met verkeerspieken.
- Misbruik van thuisrouters
- Biedt ongeautoriseerde toegang tot aangesloten apparaten zoals beveiligingscamera’s en huisautomatiseringssystemen.
Aanbevolen verdedigingen
Op hostniveau
- Gebruik van veilige protocollen zoals IPSec of WireGuard om verkeer te authenticeren en versleutelen.
- Pakketbeperking alleen van vertrouwde bronnen.
Op netwerkniveau
- Verkeersfiltering in routers en middleboxes.
- Diepgaande pakketinspectie (DPI) om kwaadaardig verkeer te identificeren.
- Blokkering van onversleutelde tunnels.
Uitspraken van experts
Simon Migliano van Top10VPN benadrukte:
«Het onveilige gebruik van tunnelingprotocollen ondermijnt het vertrouwen in de veiligheid van wereldwijde netwerken. Het is cruciaal dat zowel fabrikanten als gebruikers maatregelen nemen om deze bedreigingen te mitigeren.»
Aan de andere kant voegde professor Vanhoef toe:
«Deze kwetsbaarheden zijn het resultaat van verouderde configuraties en ongeschikte praktijken in netwerken. Alleen met een gecombineerde benadering van beveiliging op zowel host- als netwerkniveau kunnen we toekomstige grootschalige incidenten voorkomen.»
Conclusie
Het onderzoek benadrukt de urgentie voor het versterken van de beveiliging in tunnelingprotocollen. Gegeven de groeiende afhankelijkheid van verbonden apparaten is het garanderen van de bescherming van kritieke infrastructuur van cruciaal belang voor het behouden van stabiliteit en vertrouwen in het digitale ecosysteem.
via: Beveiligingsnieuws