Una nueva investigación ha descubierto vulnerabilidades de seguridad en múltiples protocolos de tunelización que podrían permitir a los atacantes realizar una amplia gama de ataques.
«Los servidores de Internet que aceptan paquetes de tunelización sin verificar la identidad del remitente pueden ser secuestrados para realizar ataques anónimos y proporcionar acceso a sus redes», dijo Top10VPN en un estudio, como parte de una colaboración con el profesor e investigador de KU Leuven Mathy Vanhoef.
Se han detectado hasta 4,2 millones de hosts susceptibles a los ataques, incluidos servidores VPN, enrutadores domésticos de ISP, enrutadores de Internet centrales, puertas de enlace de redes móviles y nodos de redes de distribución de contenido (CDN). China, Francia, Japón, Estados Unidos y Brasil encabezan la lista de los países más afectados.
La explotación exitosa de las deficiencias podría permitir a un adversario abusar de un sistema susceptible como proxy unidireccional, así como realizar ataques de denegación de servicio (DoS).
«Un adversario puede aprovechar estas vulnerabilidades de seguridad para crear servidores proxy unidireccionales y falsificar direcciones IPv4/6 de origen», afirmó el Centro de Coordinación CERT (CERT/CC) en un aviso. «Los sistemas vulnerables también pueden permitir el acceso a la red privada de una organización o ser utilizados de forma abusiva para realizar ataques DDoS».
Las vulnerabilidades tienen su raíz en el hecho de que los protocolos de tunelización como IP6IP6, GRE6, 4in6 y 6in4, que se utilizan principalmente para facilitar la transferencia de datos entre dos redes desconectadas, no autentican ni cifran el tráfico sin protocolos de seguridad adecuados como el Protocolo de Seguridad de Internet ( IPsec ).
La ausencia de medidas de seguridad adicionales abre la puerta a un escenario en el que un atacante puede inyectar tráfico malicioso en un túnel, una variación de una falla que se detectó previamente en 2020 ( CVE-2020-10136 ).
Se les han asignado los siguientes identificadores CVE para los protocolos en cuestión:
- CVE-2024-7595 (GRE y GRE6)
- CVE-2024-7596 (Encapsulación UDP genérica)
- CVE-2025-23018 (IPv4 en IPv6 e IPv6 en IPv6)
- CVE-2025-23019 (IPv6 en IPv4)
«Un atacante simplemente necesita enviar un paquete encapsulado utilizando uno de los protocolos afectados con dos encabezados IP», explicó Simon Migliano de Top10VPN.
«El encabezado externo contiene la dirección IP de origen del atacante y la dirección IP del host vulnerable como destino. La dirección IP de origen del encabezado interno es la del host vulnerable y no la del atacante. La dirección IP de destino es la del objetivo del ataque anónimo».
De esta forma, cuando el host vulnerable recibe el paquete malicioso, elimina automáticamente el encabezado de la dirección IP externa y reenvía el paquete interno a su destino. Dado que la dirección IP de origen del paquete interno es la del host vulnerable pero confiable, puede pasar los filtros de red.
Como defensa, se recomienda utilizar IPSec o WireGuard para proporcionar autenticación y cifrado, y aceptar únicamente paquetes de tunelización de fuentes confiables. A nivel de red, también se recomienda implementar filtrado de tráfico en enrutadores y middleboxes, realizar inspección profunda de paquetes (DPI) y bloquear todos los paquetes de tunelización sin cifrar.
«El impacto en las víctimas de estos ataques DoS puede incluir congestión de la red, interrupción del servicio a medida que los recursos se consumen por la sobrecarga de tráfico y caída de los dispositivos de red sobrecargados», dijo Migliano. «También abre oportunidades para una mayor explotación, como ataques de intermediarios e interceptación de datos».
Fuente y redacción: thehackernews.com
