研究者が脆弱性「TunnelCrack」を発表 - 多くのVPNクライアントに影響

「LocalNet攻撃」に関しては、平文のトラフィックが漏洩する「CVE-2023-36672」や、トラフィックがブロックされる「CVE-2023-35838」が割り当てられている。共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「6.8」「3.1」と評価した。

他方「ServerIP攻撃」は、信頼できないネットワークやISPが、接続先の「VPNサーバ」に悪意あるIPアドレスを割り当てることで実現している。

サーバの識別にホスト名を使用している場合、「VPN」が有効にされる以前のDNS応答を偽装。攻撃者が用意したIPアドレスを応答することで悪意あるサーバに接続するよう誘導し、トラフィックが傍受されるおそれがある。

「ServerIP攻撃」では、「DNSスプーフィング」によりIPアドレス偽装させることで、任意のIPアドレスにトラフィックを漏洩させる「CVE-2023-36673」と、VPNトンネルを介さずトラフィックが漏洩する「CVE-2023-36671」が割り当てられた。CVSS基本値は、それぞれ「7.4」「3.1」と評価されている。

研究チームは、これら脆弱性の公表にあたり、90日間の調整期間を経たと説明。各ベンダーには、開示の約2週間前に修正プログラムをサイレントリリースするオプションなども提示していた。

「Mozilla VPN」「Surfshark」「Malwarebytes」」「Windscribe」「Cloudflare WARP」などでアップデートが用意されている。

（Security NEXT - 2023/08/10 ） ツイート

PR

関連記事

コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
国勢調査員が調査世帯一覧などを紛失 - 目黒区
小学校で指導記録を児童用端末に誤配信 - 江戸川区
生活困窮者の相談内容含むUSBメモリが所在不明 - 北九州市
サイト掲載PDFに個人情報、墨塗りするも参照可能 - いすみ市
三井ショッピングパーク会員サイトで不正ログイン被害を確認
解約手続時に部外者同席、契約情報もとに他社営業 - ジブラルタ生命
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正