アドバイザリー：VPNクライアントにおけるTunnelCrackの脆弱性

概要

2023年8月8日、セキュリティ研究者のMathy Vanhoefが「TunnelCrack」という名前の下でVPNクライアントに影響を与えるいくつかのセキュリティ問題を発表しました。Vanhoefのアドバイザリー<1>に概説されているように、「TunnelCrack」は4つの脆弱性で構成されています：

• CVE-2023-36672：ローカルネット攻撃により、平文でのトラフィック漏洩が発生します。参照CVSSスコアは6.8です。

• CVE-2023-35838：ローカルネット攻撃により、トラフィックがブロックされます。参照CVSSスコアは3.1です。

• CVE-2023-36673：ServerIP攻撃は、DNSスプーフィングと組み合わせることで、任意のIPアドレスにトラフィックを漏洩させる可能性があります。参照CVSSスコアは7.4です。

• CVE-2023-36671：VPNサーバーの実際のIPアドレスへのトラフィックのみが漏洩するServerIP攻撃。参照CVSSスコアは3.1。

これらの問題は、ネットワークインフラストラクチャを直接制御する敵が、VPNクライアントを操作して保護されたVPNトンネルの外にトラフィックを送信させるさまざまな方法を列挙しています。例えば、悪意のあるアクセスポイントや他の信頼できないネットワークを介して。HTTPSなどの暗号化されたトラフィックは安全であり、ルーティングを操作されても復号化できません。

緩和策

VPNクライアントがローカルネットワークトラフィックを許可するように設定されている場合、リモートホストがローカルネットワーク上で到達可能に見える環境を作成することが可能です。TunnelCrackの「LocalNet」バリアントでは、トラフィックがVPNトンネルを介さずに直接送信されます。

Sophos Connect Clientの更新は必要ありません。悪用のリスクは非常に低く、簡単に緩和できます。

• LocalNet攻撃 - VPN経由で到達可能なすべてのサービスでTLSが使用されていることを確認してください。

• ServerIP攻撃 - SSL VPN設定の「ホスト名を上書き」値が空であることを確認してください。この設定のデフォルト値は空です。

関連情報

• https://tunnelcrack.mathyvanhoef.com/details.html

• https://nvd.nist.gov/vuln/detail/CVE-2023-36672

• https://nvd.nist.gov/vuln/detail/CVE-2023-35838

• https://nvd.nist.gov/vuln/detail/CVE-2023-36673

• https://nvd.nist.gov/vuln/detail/CVE-2023-36671