Các cuộc tấn công VPN TunnelVision không tệ như tưởng tượng

Các cuộc tấn công mạng ngày nay rất phổ biến và một trong những biện pháp phòng ngừa đầu tiên trong danh sách của bất kỳ ai là sử dụng VPN. Tuy nhiên, tuy an toàn nhưng VPN không hoàn hảo và đôi khi có xu hướng gặp sự cố.

Bỏ qua vấn đề ngắt kết nối và dịch vụ, một mối đe dọa lớn hơn nhiều đang xuất hiện trên VPN vào thời điểm hiện tại: Các cuộc tấn công VPN TunnelVision. Nhưng chúng là gì? Và chúng có phải là một vấn đề lớn không?

Tấn công VPN TunnelVision là gì?

Các cuộc tấn công TunnelVision xoay quanh một số kỹ thuật định tuyến mạng cho phép kẻ tấn công vượt qua sự bảo vệ của VPN trong các trường hợp cụ thể. Tuy nhiên, cuộc tấn công VPN TunnelVision không hẳn là mới. Kỹ thuật cơ bản ở đây đã tồn tại trong hơn hai thập kỷ và thực tế là nó cuối cùng đã phát triển thành một cuộc tấn công toàn diện khiến ngành công nghiệp rơi vào tình trạng hoảng loạn.

Vì vậy, kỹ thuật cơ bản nào đã luôn tồn tại?

Các nhà nghiên cứu bảo mật của Leviathan Security lần đầu tiên tiết lộ lỗ hổng này trong một tài liệu nghiên cứu phát hành vào ngày 6 tháng 5 năm 2024. Vấn đề cụ thể mà các nhà nghiên cứu nêu ra xuất phát từ DHCP (Dynamic Host Configuration Protocol), một tính năng có trong hầu hết mọi router được sử dụng hiện nay. Nói chung, DHCP được sử dụng để tự động định cấu hình thiết bị nhằm kết nối với mạng và cuối cùng là Internet.

Một phần của cấu hình này cũng dựa vào việc thiết bị biết chính xác nơi gửi lưu lượng truy cập để có thể truy cập Internet. Tuy nhiên, một tính năng DHCP ít được biết đến hơn, Option 121, cho phép thiết lập các tuyến đường thay thế cho những điểm đến cụ thể. Bất kỳ thiết bị nào hỗ trợ Option 121 đều có thể được thiết lập với các cổng bổ sung để chuyển hướng lưu lượng truy cập theo đường dẫn mặc định.

Đây là lúc TunnelVision phát huy tác dụng. Bằng cách sử dụng Option 121, kẻ tấn công có thể đặt một tuyến đường cụ thể từ router mà thiết bị trên mạng cần tuân theo để liên lạc với Internet, có khả năng gây rò rỉ VPN. Vì VPN có nhiệm vụ bảo vệ quyền riêng tư bằng cách tạo tunnel cho dữ liệu thì đó là một mối lo ngại lớn.

Nói một cách đơn giản, nếu bạn kết nối với mạng mà mình không kiểm soát, chẳng hạn như mạng Wi-Fi của sân bay hoặc khách sạn và nếu đáp ứng các điều kiện cụ thể, kẻ tấn công có thể xâm phạm router và định tuyến lại lưu lượng truy cập Internet từ thiết bị để truyền ra ngoài tunnel mạng mà VPN đã tạo.

Các cuộc tấn công VPN TunnelVision có nguy hiểm như vẻ ngoài của chúng không?

Mặc dù các cuộc tấn công TunnelVision ảnh hưởng đến tất cả những nhà cung cấp VPN và mạng hỗ trợ Option 121, nhưng tác động của kỹ thuật tấn công này rất khác nhau tùy thuộc vào thiết bị, hệ điều hành và VPN đang sử dụng. Ngoài ra, như đã đề cập trước đó, phải đáp ứng một chuỗi điều kiện cụ thể (chẳng hạn như kẻ tấn công xâm phạm router của mạng) trước khi bất kỳ ai có thể bị ảnh hưởng bởi lỗ hổng này.

Mô tả của Leviathan về lỗ hổng có một số vấn đề. TunnelVision định tuyến lại lưu lượng truy cập Internet của bạn; nhưng không "giải mã" nó. Cuộc tấn công làm lộ các TLS header liên quan đến lưu lượng truy cập, nhưng miễn là bạn đang sử dụng VPN tốt thì nội dung gói dữ liệu vẫn được mã hóa, vì bước đó được thực hiện trước khi dữ liệu rời khỏi thiết bị và vào mạng.

TunnelVision nhấn mạnh sự cần thiết phải tránh các VPN chưa được xác minh. Thông tin được thu thập từ cuộc tấn công TunnelVision có thể được sử dụng như một phần của cuộc tấn công rộng hơn nhằm nhận dạng bạn trên internet và gây ra những hậu quả nghiêm trọng hơn. Tuy nhiên, sẽ cần một lượng dữ liệu đáng kể để thực hiện điều đó và tính năng kill switch của VPN đều có thể sẽ cứu bạn trước khi điều đó xảy ra.

Làm thế nào để tự bảo vệ mình?

Ngoài tuân theo các biện pháp an ninh mạng đã được khuyến nghị, bạn không cần phải làm gì nhiều. Tuy nhiên, nếu đang sử dụng nhà cung cấp VPN ít được biết đến vì bất kỳ lý do gì thì đã đến lúc chuyển đổi. Có rất nhiều VPN tốt để tham khảo.

Miễn là kẻ tấn công không xâm phạm router phía sau mạng mà bạn đang kết nối thì bạn sẽ an toàn trước các cuộc tấn công TunnelVision. Ngay cả khi đó, nếu tính năng kill switch của VPN được bật, rất có thể bạn vẫn được bảo vệ. Bạn cũng được bảo vệ nếu đang sử dụng dữ liệu di động hoặc điểm phát sóng điện thoại để kết nối Internet trên máy tính xách tay của mình.

Trong thực tế, nhiều yếu tố cần kết hợp với nhau để một cuộc tấn công TunnelVision thành công và thậm chí khi đó, rất có thể dữ liệu được thu thập sẽ không có ích nhiều đối với kẻ tấn công. Vì vậy, chọn một VPN tốt, bật tính năng kill switch, không kết nối với các mạng Wi-Fi công cộng ngẫu nhiên sẽ giúp bạn được bảo vệ khá nhiều khỏi TunnelVision.