Un nuevo ataque llamado ‘TunnelVision’ ha sido descubierto por la empresa de ciberseguridad Leviathan Security. Este ataque permite a los ciberatacantes espiar el tráfico de una conexión VPN cifrada y mantener la apariencia de que la conexión sigue siendo segura. El ataque aprovecha la opción 121 del protocolo DHCP utilizado por los routers para asignar direcciones IP en una red local. Los atacantes crean un servidor DHCP clandestino que altera las tablas de enrutamiento y redirige todo el tráfico VPN a donde ellos quieren, evitando el túnel cifrado de la VPN legítima.
El problema ya había sido detectado en 2015, pero no se le dio mucha importancia. Ahora, con las VPN más populares que nunca, Leviathan Security quiere destacar esta vulnerabilidad. Han informado a los proveedores de VPN afectados y a organizaciones como CISA y EFF para difundir el problema. El anuncio público de la vulnerabilidad ha sido realizado junto con una prueba de concepto de un exploit.
El problema se presenta en redes controladas por un atacante o en las que el atacante puede estar infiltrado, como redes Wi-Fi públicas en bares, restaurantes, hoteles o aeropuertos. Las VPN pueden estar expuestas porque muchas de ellas son susceptibles a la manipulación del enrutamiento y tienen activados los servicios DHCP por defecto. Sin embargo, para que el ataque funcione, el usuario debe conectarse primero al servidor DHCP clandestino antes que al servidor legítimo de la red.
El problema afecta a Windows, macOS, Linux e iOS, pero no a dispositivos móviles Android, ya que la opción 121 no está soportada en este sistema operativo. Los proveedores VPN están trabajando en actualizaciones para implementar mecanismos que utilicen servidores DHCP legítimos o incluyan controles de seguridad adicionales. Mientras tanto, se recomienda a los usuarios no conectarse a redes no confiables y tomar medidas adicionales avanzadas para mitigar el problema, como establecer reglas especiales en los firewalls.
Imagen: Xataka
