Las empresas de redes privadas virtuales (VPN) comercializan sus servicios como una forma de evitar que alguien espíe su uso de Internet. Pero una nueva investigación sugiere que esta es una suposición peligrosa cuando se conecta a una VPN a través de una red que no es de confianza, porque los atacantes en la misma red podrían forzar el tráfico de un objetivo fuera de la protección proporcionada por su VPN sin activar ninguna alerta para el usuario. Imagen: Shutterstock. Cuando un dispositivo intenta conectarse inicialmente a una red, transmite un mensaje a toda la red local indicando que está solicitando una dirección de Internet. Normalmente, el único sistema de la red que detecta esta solicitud y responde es el enrutador responsable de gestionar la red a la que el usuario intenta conectarse. La máquina en una red responsable de atender estas solicitudes se llama servidor de Protocolo de configuración dinámica de host (DHCP), que emitirá concesiones basadas en el tiempo para las direcciones IP. El servidor DHCP también se encarga de configurar una dirección local específica, conocida como puerta de enlace de Internet, que todos los sistemas conectados utilizarán como ruta principal a la Web. Las VPN funcionan creando una interfaz de red virtual que sirve como un túnel cifrado para las comunicaciones. Pero los investigadores de Leviathan Security dicen que han descubierto que es posible abusar de una función oscura integrada en el estándar DHCP para que otros usuarios de la red local se vean obligados a conectarse a un servidor DHCP fraudulento. «Nuestra técnica consiste en ejecutar un servidor DHCP en la misma red que un usuario VPN objetivo y también configurar nuestra configuración DHCP para que se utilice como puerta de enlace», escribieron los investigadores de Leviathan Lizzie Moratti y Dani Cronce. «Cuando el tráfico llega a nuestra puerta de enlace, utilizamos reglas de reenvío de tráfico en el servidor DHCP para pasar el tráfico a una puerta de enlace legítima mientras la espiamos». La característica de la que se abusa aquí se conoce como opción DHCP 121 y permite que un servidor DHCP establezca una ruta en el sistema del usuario de VPN que es más específica que las utilizadas por la mayoría de las VPN. Leviathan descubrió que abusar de esta opción le da efectivamente a un atacante en la red local la capacidad de configurar reglas de enrutamiento que tienen una prioridad más alta que las rutas para la interfaz de red virtual que crea la VPN del objetivo. «Impulsar una ruta también significa que el tráfico de la red se enviará a través de la misma interfaz que el servidor DHCP en lugar de la interfaz de red virtual», dijeron los investigadores de Leviathan. «Esta es una funcionalidad prevista que no está claramente establecida en el RFC [standard]. Por lo tanto, para las rutas que enviamos, la interfaz virtual de la VPN nunca las cifra, sino que las transmite la interfaz de red que se comunica con el servidor DHCP. Como atacante, podemos seleccionar qué direcciones IP pasan por el túnel y qué direcciones pasan por la interfaz de red hablando con nuestro servidor DHCP”. Leviathan descubrió que podían obligar a las VPN de la red local que ya tenían una conexión a solicitar arbitrariamente una nueva. En esta táctica bien documentada, conocida como ataque de inanición de DHCP, un atacante inunda el servidor DHCP con solicitudes que consumen todas las direcciones IP disponibles que se pueden asignar. Una vez que el servidor DHCP legítimo de la red está completamente ocupado, el atacante puede hacer que su servidor DHCP fraudulento responda a todas las solicitudes pendientes. «Esta técnica también se puede utilizar contra una conexión VPN ya establecida una vez que el host del usuario de VPN necesita renovar un contrato de arrendamiento de nuestro servidor DHCP», escribieron los investigadores. “Podemos crear artificialmente ese escenario estableciendo un tiempo de concesión corto en la concesión de DHCP, de modo que el usuario actualice su tabla de enrutamiento con más frecuencia. Además, el canal de control VPN sigue intacto porque ya utiliza la interfaz física para su comunicación. En nuestras pruebas, la VPN siempre continuó reportándose como conectada y el interruptor de apagado nunca estuvo activado para interrumpir nuestra conexión VPN”. Los investigadores dicen que sus métodos podrían ser utilizados por un atacante que comprometa un servidor DHCP o un punto de acceso inalámbrico, o por un administrador de red deshonesto que sea propietario de la infraestructura y la configure maliciosamente. Alternativamente, un atacante podría configurar un punto de acceso inalámbrico “gemelo malvado” que imite la señal transmitida por un proveedor legítimo. ANÁLISIS Bill Woodcock es director ejecutivo de Packet Clearing House, una organización sin fines de lucro con sede en San Francisco. Woodcock dijo que la Opción 121 ha sido incluida en el estándar DHCP desde 2002, lo que significa que el ataque descrito por Leviathan ha sido técnicamente posible durante los últimos 22 años. «Ahora se están dando cuenta de que esto puede usarse para eludir una VPN de una manera que es realmente problemática, y tienen razón», dijo Woodcock. Woodcock dijo que cualquiera que pueda ser objetivo de ataques de phishing debería estar muy preocupado por el uso de VPN en una red que no es de confianza. «Cualquiera que esté en una posición de autoridad o tal vez incluso alguien que sea simplemente un individuo de alto patrimonio neto, todos ellos son objetivos muy razonables de este ataque», dijo. “Si estuviera intentando atacar a alguien en una empresa de seguridad relativamente alta y supiera dónde suelen tomar su café o sándwich dos veces por semana, esta sería una herramienta muy efectiva en esa caja de herramientas. Me sorprendería un poco si no se estuviera explotando ya de esa manera, porque nuevamente, esto no es ciencia espacial. Es simplemente pensar un poco fuera de lo común”. La ejecución exitosa de este ataque en una red probablemente no permitiría a un atacante ver todo el tráfico o la actividad de navegación de un objetivo. Esto se debe a que, en la gran mayoría de los sitios web visitados por el objetivo, el contenido está cifrado (la dirección del sitio comienza con https://). Sin embargo, un atacante aún podría ver los metadatos (como las direcciones de origen y destino) de cualquier tráfico que fluya. KrebsOnSecurity compartió la investigación de Leviathan con John Kristoff, fundador de dataplane.org y candidato a doctorado en ciencias de la computación en la Universidad de Illinois en Chicago. Kristoff dijo que prácticamente todos los equipos de red de usuario, incluidas las implementaciones de WiFi, admiten alguna forma de detección y mitigación de servidores DHCP no autorizados, pero que no está claro qué tan ampliamente implementadas están esas protecciones en entornos del mundo real. «Sin embargo, y creo que este es un punto clave a enfatizar, una red que no es confiable es una red que no es confiable, razón por la cual generalmente se emplea la VPN en primer lugar», dijo Kristoff. «Si [the] «La red local es inherentemente hostil y no tiene reparos en operar un servidor DHCP fraudulento, entonces esta es una técnica astuta que podría usarse para desenmascarar parte del tráfico, y si se hace con cuidado, estoy seguro de que el usuario nunca se dará cuenta». MITIGACIONES Según Leviathan, existen varias formas de minimizar la amenaza de servidores DHCP no autorizados en una red no segura. Uno de ellos está utilizando un dispositivo con sistema operativo Android, que aparentemente ignora la opción DHCP 121. Confiar en un punto de acceso inalámbrico temporal controlado por un dispositivo celular de su propiedad también bloquea eficazmente este ataque. «Crean una LAN bloqueada por contraseña con traducción automática de direcciones de red», escribieron los investigadores sobre los puntos de acceso celular. «Debido a que esta red está completamente controlada por el dispositivo celular y requiere una contraseña, un atacante no debería tener acceso a la red local». Moratti de Leviathan dijo que otra mitigación es ejecutar su VPN desde el interior de una máquina virtual (VM), como Parallels, VMware o VirtualBox. Las VPN que se ejecutan dentro de una VM no son vulnerables a este ataque, dijo Moratti, siempre que no se ejecuten en «modo puente», lo que hace que la VM replique otro nodo en la red. Además, se puede utilizar una tecnología llamada «inspección profunda de paquetes» para denegar todo el tráfico entrante y saliente desde la interfaz física, excepto el DHCP y el servidor VPN. Sin embargo, Leviathan dice que este enfoque abre un posible ataque de «canal lateral» que podría usarse para determinar el destino del tráfico. «En teoría, esto podría hacerse realizando un análisis de tráfico en el volumen que envía un usuario objetivo cuando las rutas del atacante están instaladas en comparación con la línea de base», escribieron. «Además, esta denegación de servicio selectiva es única, ya que podría usarse para censurar recursos específicos a los que un atacante no quiere que se conecte un usuario objetivo incluso mientras usa la VPN». Moratti dijo que la investigación de Leviathan muestra que muchos proveedores de VPN actualmente están haciendo promesas a sus clientes que su tecnología no puede cumplir. «Las VPN no fueron diseñadas para mantenerte más seguro en tu red local, sino para mantener tu tráfico más seguro en Internet», dijo Moratti. «Cuando comienzas a asegurar que tu producto protege a las personas de ver tu tráfico, hay una garantía o promesa que no se puede cumplir». Una copia de la investigación de Leviathan, junto con el código destinado a permitir que otros dupliquen sus hallazgos en un entorno de laboratorio, está disponible aquí.