S'inscrire

Cybersécurité - 20/01/2025

Les protocoles de tunneling non sécurisés exposent 4,2 millions d’hôtes, y compris les VPN et les routeurs

Hacker utilisant un outil de cybersécurité

De nouvelles recherches ont révélé des vulnérabilités de sécurité dans plusieurs protocoles de tunneling qui pourraient permettre aux attaquants de lancer un large éventail d’attaques.

« Les hôtes Internet qui acceptent les paquets de tunneling sans vérifier l’identité de l’expéditeur peuvent être détournés pour effectuer des attaques anonymes et donner accès à leurs réseaux », a déclaré Top10VPN dans une étude, dans le cadre d’une collaboration avec le professeur et chercheur de la KU Leuven Mathy Vanhoef.

Jusqu’à 4,2 millions d’hôtes ont été identifiés comme vulnérables aux attaques, notamment des serveurs VPN, des routeurs domestiques de FAI, des routeurs Internet centraux, des passerelles de réseau mobile et des nœuds de réseau de diffusion de contenu (CDN). La Chine, la France, le Japon, les États-Unis et le Brésil sont en tête de liste des pays les plus touchés.

L’exploitation réussie de ces failles pourrait permettre à un adversaire d’abuser d’un système vulnérable en tant que proxy unidirectionnel, ainsi que de mener des attaques par déni de service (DoS).

« Un adversaire peut exploiter ces vulnérabilités de sécurité pour créer des proxys unidirectionnels et usurper les adresses IPv4/6 sources », a déclaré le Centre de coordination du CERT (CERT/CC) dans un avis. « Les systèmes vulnérables peuvent également permettre l’accès au réseau privé d’une organisation ou être utilisés pour effectuer des attaques DDoS. »

Les vulnérabilités sont liées au fait que les protocoles de tunneling tels que IP6IP6, GRE6, 4in6 et 6in4, qui sont principalement utilisés pour faciliter les transferts de données entre deux réseaux déconnectés, n’authentifient pas et ne cryptent pas le trafic sans protocoles de sécurité adéquats comme Internet Protocol Security ( IPsec ).

L’absence de garde-fous de sécurité supplémentaires ouvre la porte à un scénario dans lequel un attaquant peut injecter du trafic malveillant dans un tunnel, une variante d’une faille qui avait été précédemment signalée en 2020 ( CVE-2020-10136 ).

Les identifiants CVE suivants leur ont été attribués pour les protocoles en question :

  • CVE-2024-7595 (GRE et GRE6)
  • CVE-2024-7596 (encapsulation UDP générique)
  • CVE-2025-23018 (IPv4 dans IPv6 et IPv6 dans IPv6)
  • CVE-2025-23019 (IPv6 dans IPv4)

« Un attaquant doit simplement envoyer un paquet encapsulé à l’aide de l’un des protocoles affectés avec deux en-têtes IP », a expliqué Simon Migliano de Top10VPN.

« L’en-tête externe contient l’adresse IP source de l’attaquant avec l’adresse IP de l’hôte vulnérable comme destination. L’adresse IP source de l’en-tête interne est celle de l’hôte vulnérable plutôt que celle de l’attaquant. L’adresse IP de destination est celle de la cible de l’attaque anonyme. »

Ainsi, lorsque l’hôte vulnérable reçoit le paquet malveillant, il supprime automatiquement l’en-tête de l’adresse IP externe et transmet le paquet interne à sa destination. Étant donné que l’adresse IP source du paquet interne est celle de l’hôte vulnérable mais fiable, il est en mesure de contourner les filtres réseau.

Pour se protéger, il est recommandé d’utiliser IPSec ou WireGuard pour assurer l’authentification et le chiffrement, et d’accepter uniquement les paquets de tunneling provenant de sources fiables. Au niveau du réseau, il est également conseillé de mettre en œuvre un filtrage du trafic sur les routeurs et les boîtiers intermédiaires, d’effectuer une inspection approfondie des paquets (DPI) et de bloquer tous les paquets de tunneling non chiffrés.

« Les victimes de ces attaques DoS peuvent subir des encombrements du réseau, des interruptions de service dues à la consommation de ressources par la surcharge de trafic et des pannes de périphériques réseau surchargés », a déclaré Migliano. « Cela ouvre également la voie à d’autres exploitations, comme les attaques de type « man-in-the-middle » et l’interception de données. »

Sujets récents