Vulnerabilidad de Seguridad: CVE-2024-3661: Visión de Túnel

El 6 de mayo de 2024, el grupo Leviathan Security publicó un artículo detallando una técnica para eludir la mayoría de las aplicaciones VPN (CVE-2024-3661). La técnica permite a los atacantes engañar a muchos clientes VPN para enviar tráfico a través de un canal lateral y no a través del túnel cifrado. El tráfico fluye a través del canal lateral sin encapsular y puede ser espiado por un atacante. Para más información, consulte el Blog de Cato.

Severidad

El puntaje CVSS es 7.6 (Alto)

Impacto

Los clientes afectados son:

• Windows
• macOS
• iOS
• Linux

Hasta la fecha, Cato no tiene conocimiento de intentos de explotación maliciosos dirigidos a los clientes de Cato.

Resolución

En el Cliente de Windows, use una clave de registro para habilitar la función "Eliminar Rutas Estáticas". Esto configura el Cliente para eliminar todas las rutas estáticas no gestionadas por Cato.

Esto entra en vigor la próxima vez que el Cliente se conecte a la nube de Cato. Si 'Always-On' está activado, los usuarios pueden necesitar eludir 'Always-On'. Para obtener más información sobre cómo eludir 'Always-On', consulte Eludir Temporalmente el Acceso a Internet Seguro.

Puede configurar la clave de registro manualmente o con un MDM.

Para configurar manualmente el registro de Windows:

1. Vaya a esta ubicación en el registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
2. Defina esta clave: DeleteStaticRoutes=1 (DWORD)

Para configurar el registro de Windows con un MDM:

1. Ejecute este comando: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN" /v DeleteStaticRoutes /t REG_DWORD /d 1 /f

Estamos trabajando en actualizaciones para los otros sistemas operativos afectados, y estas se emitirán a medida que estén disponibles.

Recomendaciones Adicionales

Para mejorar la seguridad en redes gestionadas o en escenarios que involucren redes públicas u otras no confiables, estas recomendaciones adicionales pueden ayudar a mitigar la vulnerabilidad:

• Mitigación de ataques DHCP en redes locales: Los administradores pueden habilitar configuraciones en conmutadores de red como DHCP Snooping para proteger la red de la introducción de un servidor DHCP no autorizado.
• Utilizar Hotspots Celulares: Usar una red celular en lugar de Wi-Fi público mitiga el riesgo, ya que la red es controlada por el dispositivo móvil.
• Desactivar la Opción 121: Desactívela en los puntos finales donde sea posible, teniendo en cuenta que esto puede interrumpir algunas conexiones de red.