HackerNews 编译,转载请注明出处:
最新研究发现,多种隧道协议存在安全漏洞,可能让攻击者实施一系列攻击。
Top10VPN与KU Leuven教授Mathy Vanhoef合作的研究表明,“接收隧道数据包但未验证发送方身份的互联网主机,可能会被劫持,进行匿名攻击并提供网络访问权限。”
研究表明,多达420万个主机面临攻击风险,其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络(CDN)节点。中国、法国、日本、美国和巴西是受影响最严重的国家。
成功利用这些漏洞,攻击者可将易受攻击的系统用作单向代理,还能进行拒绝服务(DoS)攻击。
网络安全专家表示:“攻击者可以利用这些安全漏洞创建单向代理并伪造源IPv4/6地址。”CERT协调中心(CERT/CC)在公告中指出,“易受攻击的系统可能允许访问组织的私人网络,甚至被滥用来执行DDoS攻击。”
这些漏洞的根源在于,隧道协议如IP6IP6、GRE6、4in6和6in4主要用于促进两个断开网络之间的数据传输,但缺乏认证和加密,未采用足够的安全协议如IPSec。
缺乏额外的安全防护使得攻击者可以将恶意流量注入隧道,这是一种变种,早在2020年就已标识为漏洞(CVE-2020-10136)。
相关协议已被赋予以下CVE标识符:
- CVE-2024-7595(GRE和GRE6)CVE-2024-7596(通用UDP封装)CVE-2025-23018(IPv4-in-IPv6和IPv6-in-IPv6)CVE-2025-23019(IPv6-in-IPv4)
Top10VPN的Simon Migliano解释道:“攻击者只需发送一个使用受影响协议封装的数据包,并带有两个IP头。”
“外部头包含攻击者的源IP,目标主机的IP作为目的地址。内部头的源IP则是目标主机的IP,而不是攻击者的IP。目的IP是匿名攻击的目标。”
因此,当易受攻击的主机接收到恶意数据包时,它会自动剥离外部IP头,将内部数据包转发到目标。由于内部数据包的源IP是受信任的目标主机IP,它能够通过网络过滤器。
为了加强防御,建议使用IPSec或WireGuard提供认证和加密,并仅接受来自受信任来源的隧道数据包。在网络层,建议对路由器和中间设备进行流量过滤,执行深度数据包检测(DPI),并阻止所有未加密的隧道数据包。
Migliano补充道:“这些DoS攻击对受害者的影响可能包括网络拥堵、由于流量超载而导致的服务中断,甚至使网络设备崩溃。它还为进一步的攻击打开了机会,例如中间人攻击和数据拦截。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
