Una grave vulnerabilità che interessa tutte le applicazioni VPN, o quasi, è stata scoperta dai ricercatori di Leviathan Security Group e battezzata TunnelVision (CVE-2024-3661). Se sfruttata, può consentire a un malintenzionato di inviare e ricevere traffico dati al di fuori del tunnel protetto da crittografia che costituisce la caratteristica principale di ogni Virtual Private Network, svelando al tempo stesso il reale indirizzo IP del dispositivo.
TunnelVision è la vulnerabilità di tutte le VPN
La falla mette a rischio la privacy e le informazioni dell’utente, non appena si attiva la connessione a un cosiddetto network ostile, appositamente predisposto. Al momento, pare non esserci alcun modo per evitarlo, se non ricorrendo a workaround poco pratici. Sembra però che, se il software è in esecuzione su Android o su Linux, l’anomalia non si verifichi o che il suo impatto sia comunque mitigato. Qui sotto un filmato dimostrativo.
La vulnerabilità TunnelVision è appena stata documentata, ma stando a quanto reso noto, potrebbe essere in circolazione fin dal lontano 2002. Non è da escludere che, tra i cybercriminali, qualcuno la stia già sfruttando da tempo per svelare il traffico della vittima e instradarlo direttamente verso l’aggressore
. Chi esegue l’attacco è in grado di leggere, eliminare o modificare il traffico, mentre la vittima mantiene sia la connessione alla VPN sia quella a Internet
.
Il metodo impiegato è quello che passa dalla manipolazione del server DHCP che si occupa di assegnare gli indirizzi IP ai dispositivi che si collegano al network. Una configurazione in particolare, l’opzione 121, permette di ignorare le regole di routing predefinite, deviando i dati verso la destinazione voluta.
Fix e workaround: come mitigare il problema
Al momento, non ci sono fix in grado di contrastare gli effetti della vulnerabilità. Come già anticipato, Android è del tutto immune dalla dinamica, mentre le protezioni implementate in Linux mitigano il suo impatto. Gli altri sistemi operativi risultano invece esposti. L’unico rimedio possibile, seppur non ottimale, consiste nell’impostare regole specifiche sul firewall (rimandiamo alla documentazione per altre informazioni).
Altri workaround, anche in questo caso poco pratici, prevedono l’esecuzione della Virtual Private Network all’interno di una macchina virtuale il cui adattatore di rete non è in modalità bridge oppure la connessione a Internet attraverso la rete Wi-Fi generata da un dispositivo mobile.
In questo periodo, l’ambito VPN è al centro di diverse notizie riguardanti l’efficacia e l’integrità dei servizi proposti. Una, risalente alla scorsa settimana, riguarda l’effetto negativo introdotto da alcuni update recenti di Windows. Un’altra, pubblicata proprio ieri su queste pagine, è inerente a un bug di Android che svela le richieste DNS.