روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هدف اصلی وی‌پی‌ان، رمزگذاری کردن کانکشن اینترنت و محافظت در برابر رهگیری، دیده شدن و تغییر دادن داده‌های شماست. وی‌پی‌ان برای کاربران معمولی به محافظت و دسترسی به محتوا از منطقه خاص کمک می‌کند. آسیب‌پذیری‌های تازه‌کشف‌شده‌ی TunnelCrack را می‌توان برای مختل کردن عملکرد نرمال وی‌پی‌ان‌ها و تا حدی محروم کردن کاربران از این لایه محافظتی استفاده کرد. این مشکل بیشتر وی‌پی‌ان‌های کاربران خانگی و سازمانی را تحت‌الشعاع قرار داده است. در ادامه قرار است بدانیم علل این آسیب‌پذیری‌ها چیست و چطور می‌شود ایمن ماند. با ما همراه بمانید.

ساز و کار TunnelCrack

اگر به هات‌اسپات وا‌ی‌فای مخرب یا ISP بدخیمی وصل شوید می‌توانید به کامپیوتر یا گوشی خود دستورالعمل‌هایی ارسال کنید که به برخی از ترافیک‌ برنامه‌ها اجازه خواهد داد تونل وی‌پی‌ان را دور بزنند و همین راه را برای تحلیل و دستکاری باز می‌کند. حمله صرف‌نظر از اینکه کانکشن از چه پروتکل وی‌پی‌انی استفاده می‌کند عمل می‌کند. اما ریدایرکت کردن همه ترافیک به این شکل هم عملی نیست پس مهاجم باید خود را به تنظیم فهرستی از وبسایت‌ها و سرورهایی که قصد جاسوسی‌شان را دارد محدود کند. این حمله از لیست محرومیت‌ها که می‌توانند در تمام مشتریان وی‌پی‌ان تنظیم شده باشند سوءاستفاده می‌کند. هر حذفی برخی ترافیک را از تونل وی‌پی‌ان رمزگذاری‌شده رد می‌کند. این قابلیت دست کم در دو سناریو نیاز می‌شود: اولی برای نگه داشتن تونل بین دستگاه‌های لوکال بیرون از تونل وی‌پی‌ان. اگر کامپیوتر شما دارد تصویری را روی تلویزیون شما از طریق شبکه استریم می‌کند نیازی ندارد رمزگذاری باشد. دوم اینکه ترافیک از قبل رمزگذاری‌شده توسط کلاینت وی‌پی‌ان و مقصددهی‌شده برای سرور آن باید از تونل وی‌پی‌ان عبور کند. دوباره بگوییم که این منطقی است- البته اگر به تونل منتهی شود وارد دور دوم رمزگذاری خواهد شد.

اسمی که محققین برای حمله به مورد اول دادند LocalNet است (CVE-2023-36672 و CVE-2023-35838). یک روتر سرکش (برای مثال یک هات‌اسپات وای‌فای) از تنظیمات ناصحیح شبکه‌ای تغذیه می‌کند میزهای روتینگ) که نشان‌دهنده آدرس‌های عمومی آی‌پی مورد نظر به مهاجمین به عنوان بخشی از شبکه لوکال هستند. در نتیجه، داده‌های تبادل‌شده بین قربانی و این آدرس‌ها جزو موارد استثنا قرار گرفته و تونل را رد می‌کنند. حمله روی مورد دوم  ServerIP نام گرفته است (CVE-2023-36673 و CVE-2023-36671). کلاینت‌ها معمولاً با استفاده از نا دامنه به سرور قانونی وی‌پی ان دسترسی پیدا می‌کنند. مهاجم با دستکاری سرور DNS که قربانی بدان وصل می‌شود آی‌پی ناصحیح سرور وی‌پی‌ان را که با آی‌پی منابع مقصدی که مد نظرشان است هماهنگی دارد بازمی‌گرداند. در همین حال، مجرمان سایبری ترافیک وی‌پی‌ان را به سرور واقعی وی‌پی‌ان ترجمه کرده و می‌توانند ترافیک ورودی رمزگذاری‌نشده را در آی‌پی‌های مقصد دستکاری نموده یا آن‌ها را تحلیل کنند.

به عنوان یک کاربر وی‌پی‌ان چه کار باید کرد؟

•         سرویس VPN خود را برای آپدیت‌ها چک کنید. وبسایت رسمی را بررسی کرده و با پشتیبانی فنی تماس بگیرید. ممکن است ارائه‌دهنده شما قبلاً برنامه‌ها و تنظیمات خود را به‌روزرسانی کرده باشد، بنابراین نصب به‌روزرسانی برای رفع مشکل کافی است. توجه داشته باشید که ممکن است به دلیل محدودیت های پیکربندی VPN در سمت اپل، آپدیت برای iOS وجود نداشته باشد.
•         برای خدمات مبتنی بر OpenVPN خالص (که تعداد زیادی از آنها وجود دارد) می‌توانید از هر کلاینت OpenVPN که در آن آسیب پذیری‌ها رفع شده است استفاده کنید. محققین Windscrib را توصیه می‌کنند.
•         در بخش تنظیمات سرویس وی‌پی‌ان موارد استثنا را بررسی کرده و اگر گزینه route local traffic without VPN یا allow access to local network وجود دشت آن را غیرفعال کنید. به بیانی دیگر همه ترافیک‌ها باید از وی‌پی‌ان عبور کنند. ایراد آشکار این تنظیمات: نخواهید توانست از کامپیوتر خود به NAS لوکال لاگین کرده و یا از طریق وای‌فای روی شبکه لوکال دستگاه‌های هوشمند خود را مدیریت کنید- تنها راه انجام این کار، استفاده از سرویس‌های کلود است. در حالت ایده‌آل، تنظیمات برای بلاک ترافیک لوکال باید تنها برای شبکه‌های عمومی خارج از خانه به کار رود. اما چنین پیکربندی با جزئیاتی که تنظیات مختلف را برای شبکه‌های متفاوت میسر می‌سازد همیشه برای کلاینت‌های وی‌پی‌ان ممکن نیست.
•         اگر هنوز DNS امن راه‌اندازی نکرده‌اید این کار را انجام دهید. با این کار نه تنها حملات ServerIP پیچیده‌تر می‌شوند که حتی به طور کلی امنیت شبکه نیز ارتقا پیدا می‌کند. یک DNS امن حسابی با وی‌پی‌ان هماهنگ است و می‌توانند کاملاً همزمان مورد استفاده قرار گیرند.

به عنوان یک ادمین وی‌پی‌ان سازمانی باید چه کرد؟

•         بررسی کنید آیا کلاینت‌های وی‌پی‌ان شما در معرض چنین آسیب‌پذیری قرار دارند یا خیر. متود آزمایش دستی در گیت‌هاب توسط محققین شرح داده شده است. همه نسخه‌های کلاینت وی‌پی‌ان را در شرکت خود برای همه پلت‌فرم‌های مربوطه آزمایش کنید.
•         درخواست به روزرسانی برنامه‌های کاربردی کلاینت آسیب‌پذیر از ارائه‌دهنده VPN شرکتی خود. برای مثال، به‌روزرسانی‌ها بلافاصله توسط Cisco منتشر شد. توجه داشته باشید که به‌روزرسانی‌های iOS ممکن است به دلیل محدودیت‌های پیکربندی اپل در دسترس نباشند.
•         تنظیمات استاندارد وی‌پی‌ان را روی همه کامپیوترها چک کنید. اغلب گزینه پیش‌فرض بلاک کردن  دسترسی شبکه لوکال است که در این سناریو حمله TunnelCrack امکان‌پذیر نخواهد بود.
•         اگر نیاز هست که ترافیک بدون وی‌پی‌ان خود را در برخی موارد نگه دارید –برای مثال برای دسترسی به پرینتر با شبکه لوکال در خانه‌ی یک کارمند- روی فایروال هر کامپیوتر قوانین محدودکننده بگذارید تا فقط برخی فعالیت‌ها از لیست فیکس‌شده مجاز باشند.
•         فقط از ابزارهای امنیتی DNS استفاده کنید. این‌ها اغلب بخشی از سیستم‌های امنیتی شبکه سازمانی را شکل می‌دهند اما همچنین می‌توانند به طور جداگانه نیز خریداری شوند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.