Yeni araştırma birden fazla güvenlik açığını ortaya çıkardı tünel protokolleri Bu, saldırganların çok çeşitli saldırılar gerçekleştirmesine olanak tanıyabilir.
Top10VPN, “Gönderenin kimliğini doğrulamadan tünelleme paketlerini kabul eden internet ana bilgisayarları, anonim saldırılar gerçekleştirmek ve ağlarına erişim sağlamak üzere ele geçirilebilir.” söz konusu KU Leuven profesörü ve araştırmacı Mathy Vanhoef ile yapılan işbirliğinin bir parçası olarak yapılan bir çalışmada.
VPN sunucuları, ISP ev yönlendiricileri, çekirdek internet yönlendiricileri, mobil ağ geçitleri ve içerik dağıtım ağı (CDN) düğümleri de dahil olmak üzere 4,2 milyon kadar ana bilgisayarın saldırılara açık olduğu tespit edildi. En çok etkilenen ülkeler listesinin başında Çin, Fransa, Japonya, ABD ve Brezilya geliyor.
Eksikliklerin başarılı bir şekilde kullanılması, bir saldırganın duyarlı bir sistemi tek yönlü proxy’ler olarak kötüye kullanmasına ve ayrıca hizmet reddi (DoS) saldırıları gerçekleştirmesine olanak tanıyabilir.
CERT Koordinasyon Merkezi (CERT/CC) “Bir düşman, tek yönlü proxy’ler oluşturmak ve kaynak IPv4/6 adreslerini taklit etmek için bu güvenlik açıklarını kötüye kullanabilir” dedi. söz konusu bir danışma belgesinde. “Hassas sistemler aynı zamanda bir kuruluşun özel ağına erişime izin verebilir veya DDoS saldırıları gerçekleştirmek için kötüye kullanılabilir.”
Güvenlik açıkları, esas olarak bağlantısız iki ağ arasında veri aktarımını kolaylaştırmak için kullanılan IP6IP6, GRE6, 4’ü 6 ve 6’sı 4 gibi tünel protokollerinin, İnternet Protokolü Güvenliği gibi yeterli güvenlik protokolleri olmadan trafiği doğrulamaması ve şifrelememesi gerçeğinden kaynaklanmaktadır (IPsec).
Ek güvenlik korkuluklarının bulunmaması, bir saldırganın tünele kötü niyetli trafik enjekte edebileceği bir senaryonun kapısını açıyor; önceden işaretlenmiş 2020’de (CVE-2020-10136).
Söz konusu protokoller için aşağıdaki CVE tanımlayıcıları atanmıştır:
- CVE-2024-7595 (GRE ve GRE6)
- CVE-2024-7596 (Genel UDP Kapsülleme)
- CVE-2025-23018 (IPv6’da IPv4 ve IPv6’da IPv6)
- CVE-2025-23019 (IPv4’te IPv6)
Top10VPN’den Simon Migliano, “Bir saldırganın, iki IP başlığına sahip, etkilenen protokollerden birini kullanarak kapsüllenmiş bir paket göndermesi yeterlidir.” dedi.
“Dış başlık, saldırganın kaynak IP’sini ve hedef olarak savunmasız ana bilgisayarın IP’sini içerir. İç başlığın kaynak IP’si, saldırganın değil, savunmasız ana bilgisayarın IP’sidir. Hedef IP, anonim saldırının hedefinin IP’sidir.”
Böylece, savunmasız ana bilgisayar kötü amaçlı paketi aldığında, otomatik olarak dış IP adresi başlığını çıkarır ve iç paketi hedefine iletir. İç paketteki kaynak IP adresinin savunmasız ancak güvenilir ana bilgisayarın adresi olduğu göz önüne alındığında, ağ filtrelerini geçebilmektedir.
Savunma olarak, kimlik doğrulama ve şifreleme sağlamak için IPSec veya WireGuard kullanılması ve yalnızca güvenilir kaynaklardan gelen tünel paketlerinin kabul edilmesi önerilir. Ağ düzeyinde, yönlendiriciler ve orta kutular üzerinde trafik filtrelemenin uygulanması, Derin paket incelemesinin (DPI) gerçekleştirilmesi ve tüm şifrelenmemiş tünel paketlerinin engellenmesi de önerilir.
Migliano, “Bu DoS saldırılarının kurbanları üzerindeki etkisi arasında ağ tıkanıklığı, aşırı trafik nedeniyle kaynakların tüketilmesi nedeniyle hizmet kesintisi ve aşırı yüklenmiş ağ cihazlarının çökmesi sayılabilir” dedi. “Aynı zamanda ortadaki adam saldırıları ve veri müdahalesi gibi daha fazla istismar için fırsatlar da yaratıyor.”
