“Entre otras cosas, el tráfico debe cifrarse adecuadamente incluso antes de ingresar a una VPN. Toda tecnología tiene vulnerabilidades. El mero hecho de que una herramienta tenga una vulnerabilidad particular no significa que no pueda ser útil en una estrategia sólida de defensa en profundidad”.
Noah Beddome, CISO residente de Leviathan, dijo que los CISO deben recordar el origen de las VPN. “Nunca se supuso que la VPN fuera una solución de seguridad; las VPN nunca fueron diseñadas para eso”, dijo.
“Eran un uso provisional en ese momento. [they were created]. Aun así, casi todas las empresas utilizan tantas VPN que no es fácil reemplazarlas”. Beddome dijo que es probable que las operaciones de seguridad con fondos y personal insuficientes hayan dificultado el reemplazo rápido de las VPN.
Tunnelvision es un ataque secundario que sigue a una infracción
Según los investigadores, Tunnelvision es un ataque secundario, lo que significa que sólo funciona si el atacante ya ha obtenido un acceso significativo a la red. El peligro es que algunos miembros del personal de seguridad y TI puedan pensar que la VPN aún protegería sus datos incluso si el entorno está comprometido. Según las pruebas realizadas por Leviathan, tal protección no existiría en una VPN estándar.
El ataque “pasa por alto la encapsulación de VPN. Un atacante puede utilizar esta técnica para forzar el tráfico de un usuario objetivo fuera de su túnel VPN utilizando funciones integradas de DHCP (Protocolo de configuración dinámica de host)”, decía la publicación del blog.
“El resultado de esto es que el usuario transmite paquetes que una VPN nunca cifra y un atacante puede espiar su tráfico. Estamos utilizando el término «decloaking» para referirnos a este efecto. Es importante destacar que el canal de control de VPN se mantiene para que funciones como los interruptores de apagado nunca se activen y los usuarios continúen apareciendo como conectados a una VPN en todos los casos que hemos observado”.