Перейти к содержанию

Уязвимости TunnelCrack в VPN-клиентах | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Основная цель VPN — зашифровать ваше интернет-соединение, защитив информацию от перехвата, просмотра и изменения.  Этим пользуются компании для обеспечения безопасной дистанционной работы или для организации связи между филиалами. В быту же VPN помогает защитить конфиденциальность и получить доступ к контенту из определенного региона.  Недавно разглашенные уязвимости TunnelCrack позволяют нарушить работу VPN, частично лишая пользователей защиты. Проблема касается большинства корпоративных и бытовых VPN. Как это возможно и что делать для защиты?

В чем суть TunnelCrack

Если подключиться к зловредной точке доступа Wi-Fi или злонамеренному провайдеру Интернета, он может выдать компьютеру или телефону такие настройки, что часть трафика приложений пойдет в незашифрованном виде мимо VPN-туннеля и будет доступна для анализа и изменений. Атака работает вне зависимости от того, какой конкретно VPN-протокол используется для соединения. Но перенаправить весь трафик таким образом затруднительно, так что атакующему придется выбрать какой-то конкретный список интересующих его сайтов и серверов, за общением с которыми он хочет подсматривать.

В атаке эксплуатируется настройка исключений, которая предусмотрена во всех клиентах VPN. Каждое исключение направляет часть трафика мимо зашифрованного VPN-канала. Эта функция действительно нужна как минимум в двух случаях.

Во-первых, чтобы не пускать в VPN-туннель трафик между локальными устройствами. Если ваш компьютер транслирует изображение на ваш же телевизор по локальной сети, делать это через VPN не нужно.

 

Посмотреть статью полностью

Umnik

Umnik

Опубликовано
Опубликовано
3 hours ago, KL FC Bot said:

Основная цель VPN — зашифровать ваше интернет-соединение, защитив информацию от перехвата, просмотра и изменения

Узнай автора статьи по первому предложению. Автор - Стан Камински. Потому что он не знает, в чём основная задача VPN. Задача VPN, Стан, связать устройства в единую сеть. Например, чтобы удалённый сотрудник мог из Перди подключиться к серверу внутри организации. Более того, VPN может быть даже без защиты подключения. К примеру, ещё несколько лет назад в Москве почти все провайдеры делали подключение к себе по L2TP,  который сам по себе перекладывает обеспечение шифрования на других, так сказать. Играет роль "передаста".

 

Ну то есть в реальном мире VPN будет почти наверняка с шифрованием и всё такое, но это как говорить, что трафик сайтов зашифрован — ведь сегодня почти все сайты по https.

 

Quote

В быту же VPN помогает защитить конфиденциальность и получить доступ к контенту из определенного региона.

...Впрочем, использовать для этого VPN — это ошибка. // господи-божечки, дай мне уже сил и времени разъяснить, что вам почти наверняка не нужен VPN.

 

Quote

в то время как для Android проблема проявилась лишь в четверти приложений. Более того, под Android начиная с 12 версии провести атаку невозможно.

Смешались в кучу кони, люди. Стан как всегда, держит марку:

  1. Невозможно провести никакой атаки на встроенных в Android 12 и новее VPN клиентах. Не про сторонние речь в 12+, а только про встроенный. Сторонние сами по себе и не связаны с версией ОС
  2. На самом деле защищён Android 8 и новее (имеется в виду, опять же, встроенный VPN клиент), т.к. вторая уязвимость, которая исправлена для 12+, требует не защищённый DNS резолвинг. А исправлена проблема не в VPN, а в том, что Android 12 и новее принудительно использует защищённый DNS резолвер по умолчанию, прям на уровне системы. То есть до 12-го ни одно приложение, которое бы использовало тоже нормальный резолвер (всякие банковские + браузеры), тоже бы не попалось
Quote

Кстати, стандартный клиент VPN, встроенный в Windows, уязвим к этим атакам, и на момент подготовки этого поста Microsoft не планировала выпуск патчей.

Потому что встроенные VPN клиенты, это, как правило, просто заглушки, чтобы хоть как-то работало. Они не рассчитаны на реальную работу. Для реальной работы будут ставить сторонние. Ну то есть лучше, когда проблем нет вовсе, конечно, но в данном случае это как переживать про проблемы со встроенным wordpad, которым никто не пользуется.

Quote

Если там есть опция «пропускать локальный трафик без VPN» или «разрешить доступ к локальной сети», ее нужно отключить.

Я, конечно, мало VPN клиентов видел, но те, которые видел, имели ровно обратную настройку: блокировать local network. В этом случае она должна быть включена

Friend

Friend

Опубликовано
Опубликовано

Хм, я ожидал в статье рекомендации использовать Kaspersky Secure Connection. Если его не рекламируют, значит он тоже уязвим, прав ли я @Umnik ?:coffee:

 

Umnik

Umnik

Опубликовано
Опубликовано

Я не знаю, не проверял. Может банально не хотели проверять российское ПО.

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • TVA
      Так есть VPN в касперском?
      Автор TVA
      Здравствуйте товарищи! Так есть VPN в касперском? Бесплатный VPN от касперского дает всего 200мб в день, отдельное приложение так и называется "Kaspersky VPN"но работает отлично! Но платный не дает купить!? Пожалуйста какой продукт касперского купить чтоб VPN работал? Мне только для ютуб и дискорд.

    • Татьяна303
      не подключается VPN-Касперский
      Автор Татьяна303
      Доброго дня. Почему не подключается VPN-Касперского, ни на телефоне, ни на ноутбуке, даже после выбора другого VPN-сервера, выходит одно и то же сообщение (в прикрепленном файле). И еще вопрос: если используетсся одна подписка на VPN-Касперского на два устройста, то сервера будут разные на этих устройствах, или должен быть один и тот же?
      И в личном кабинете Касперского указано, что одно устройство использовало за эти дни 486 Мб, а на компьютере - 0 Мб, хотя все время включала VPN на компьютере и он показывал сервер (Варшава-Польша). (Прикрепленный скрин Doc3)
       
      Спасибо
       
      Doc2.docx
      Doc3.docx
    • KL FC Bot
      Несколько уязвимостей в CMS Sitecore | Блог Касперского
      Автор KL FC Bot
      Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
      CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
      На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
       
      View the full article
    • KL FC Bot
      Reptar: уязвимость в процессорах Intel | Блог Касперского
      Автор KL FC Bot
      14 ноября компания Google выпустила бюллетень, в котором сообщила о серьезной уязвимости в ряде процессоров компании Intel, начиная с поколения Ice Lake, выпущенного в 2019 году. Потенциально, эта уязвимость может приводить к отказу в обслуживании, эскалации привилегий или раскрытию чувствительной информации. На момент подготовки статьи обновления микрокода, закрывающие проблему, были выпущены для 12-го и 13-го поколений процессоров Intel (соответственно, Alder Lake и Raptor Lake). Патчи для процессоров 10-го и 11-го поколений (Ice Lake и Tiger Lake) готовятся. Полный список подверженных процессоров представлен на сайте Intel в виде огромной таблицы.
      По словам представителей Intel, о нестандартном поведении процессоров инженеры компании знали, но проблема считалась некритичной, и ее решение отложили на первую половину 2024 года. Но ситуация изменилась, когда исследователи из компании Google, независимо от Intel, обнаружили проблему. Собственно, все детали уязвимости мы знаем от специалистов Google, а конкретно из статьи Тависа Орманди.
      Фаззинг процессоров
      Тавис Орманди имеет на своем счету множество обнаружений серьезных уязвимостей в различных программах и устройствах. Совсем недавно мы писали о его предыдущем исследовании, в ходе которого была обнаружена уязвимость Zenbleed в процессорах AMD. Тогда Тавис говорил о развитии применения фаззинга для поиска аппаратных проблем.
      Фаззинг — это метод, который подразумевает подачу случайной информации на ввод тестируемой информационной системы. Как правило, ее применяют для автоматизированного поиска уязвимостей в софте: создается специальная «оснастка», позволяющая взаимодействовать с программой и отслеживать ее состояние. Дальше происходят десятки и сотни тысяч тестов, в ходе которых можно обнаружить нестандартное поведение тестируемого кода.
      В случае испытания процессоров все несколько сложнее. Мы должны генерировать случайные программы, которые при этом работают без собственных сбоев, и выполнять их на процессоре. Как в таком случае отделить штатное поведение процессора от аномального? Ведь далеко не всегда ошибка в процессе выполнения ПО приводит к сбою. Орманди предложил методику, в рамках которой одинаковый «случайный» код одновременно выполняется на разных процессорах. По идее, результат работы одной и той же программы должен быть одинаковый, а вот если результат отличается, то возможно это признак проблемы. Именно такой подход выявил проблему в процессорах Intel.
       
      Посмотреть статью полностью
    • KL FC Bot
      WordPress: уязвимости в плагинах и темах | Блог Касперского
      Автор KL FC Bot
      В последнее время на новостных сайтах, связанных с тематикой информационной безопасности, часто упоминалась система управления контентом (CMS) WordPress. Чаще всего причиной были уязвимости во всевозможных плагинах и темах для нее; впрочем, наши коллеги также наблюдали кейс, в котором злоумышленники распространяли трояны через плохо защищенные WordPress-сайты. Само по себе это не удивительно — данная CMS остается одной из самых популярных. Но такое количество обнаруженных в ее плагинах уязвимостей и связанных с ней инцидентов говорит о том, что за ней тщательно следят не только исследователи из мира ИБ, но и злоумышленники.
      Инциденты, связанные с WordPress
      Только за это лето стало известно о нескольких достаточно серьезных инцидентах, в которых злоумышленники действовали через WordPress.
      Плагин Gravity Forms: компрометация сайта и заражение кода
      В начале июля злоумышленники получили доступ к сайту Gravity Forms, популярного расширения для создания форм, и внедрили вредоносный код в версии 2.9.11.1 и 2.9.12 плагина. Сайты, на которых эти версии плагина были установлены администраторами вручную или через инструмент управления PHP-зависимостями Composer в период с 9 по 10 июля, были заражены зловредом.
      Зловред блокировал дальнейшие попытки обновления пакета, скачивал и устанавливал дополнительный вредоносный код и добавлял учетные записи с правами администратора. В результате злоумышленники получали возможность захватить сайт и использовать его для какой-либо вредоносной активности.
      Разработчики Gravity Forms рекомендуют всем своим пользователям проверить, не установлена ли у них потенциально опасная версия. Инструкции, как это легко сделать, можно найти в предупреждении об инциденте на официальном сайте плагина. Там же находится и инструкция по устранению угрозы. Ну и, разумеется, необходимо обновить плагин до версии 2.9.13.
       
      View the full article
×
×
  • Создать...