Usuários de VPN em todo o mundo enfrentam uma nova ameaça conhecida como port shadowing, que permite que invasores interceptem e manipulem conexões, potencialmente direcionando usuários para sites maliciosos. Pesquisadores de várias universidades apresentaram essa descoberta no Privacy Enhancing Technologies Symposium 2024 na Inglaterra, que acontecerá até 20/07/2024.
A vulnerabilidade afeta os softwares OpenVPN, WireGuard e OpenConnect em execução no Linux e FreeBSD.
Em ataques de port shadowing, os invasores podem enviar pacotes especialmente criados para o servidor VPN a partir de sua própria conexão ou de um local remoto na Internet, potencialmente impactando outros usuários no mesmo servidor. Os pesquisadores cunharam o termo “port shadowing” para descrever como os invasores ocultam suas informações dentro da porta de uma vítima, facilitando atividades como espionagem, varredura de porta ou sequestro de conexão, conforme descrito em seu artigo de 18 páginas.
Os servidores VPN utilizam uma estrutura de rastreamento de conexão para gerenciar o tráfego entre usuários conectados, oferecendo controle significativo sobre o manuseio de pacotes. No entanto, a natureza compartilhada dessa estrutura entre todos os usuários conectados pode ser explorada por atores mal-intencionados para redirecionar pacotes de maneiras não autorizadas, conforme destacado pelos pesquisadores.
“Embora as VPNs geralmente melhorem a segurança, certas vulnerabilidades como o port shadowing podem expor os usuários a riscos como espionagem ou sequestro de conexão”, alertaram os pesquisadores. Atualmente, nenhuma atualização de segurança está disponível para esse problema, mas os provedores de VPN podem mitigar os riscos implementando regras de firewall. Alternativamente, os usuários podem adotar protocolos como ShadowSocks ou Tor como soluções temporárias.
Após a descoberta, o problema já era conhecido dentro do OpenVPN, identificado pelo número de bug CVE-2021-3773, que tem uma classificação de gravidade de 9,8 de 10. Notavelmente, provedores de VPN como NordVPN, ExpressVPN e Surfshark, que utilizam OpenVPN ou WireGuard, não são vulneráveis ao CVE-2021-3773.
Fonte: Ciso Advisor