Vulnérabilité de sécurité : CVE-2024-3661 : Tunnel Vision

Le 6 mai 2024, le groupe Leviathan Security a publié un article détaillant une technique pour contourner la plupart des applications VPN (CVE-2024-3661). La technique permet aux attaquants de tromper de nombreux clients VPN pour envoyer du trafic via un canal secondaire et non à travers le tunnel crypté. Le trafic passe par le canal secondaire sans encapsulation et peut être espionné par un attaquant. Pour plus d'informations, voir le Blog Cato.

Gravité

Le score CVSS 7.6 (Élevé)

Impact

Les clients impactés sont :

• Windows
• macOS
• iOS
• Linux

À ce jour, Cato n'est pas au courant de tentatives d'exploitation malveillantes ciblant les clients Cato.

Résolution

Sur le Client Windows, utilisez une clé de registre pour activer la fonctionnalité « Supprimer les routes statiques ». Cela configure le Client pour supprimer toutes les routes statiques non gérées par Cato.

Cela prend effet la prochaine fois que le Client se connecte au cloud Cato. Si Always-On est activé, les utilisateurs peuvent avoir besoin de contourner Always-On. Pour plus d'informations sur la façon de contourner Always-On, voir Contournement temporaire de l'accès Internet sécurisé.

Vous pouvez configurer la clé de registre manuellement ou avec un MDM.

Pour configurer manuellement le registre Windows :

1. Allez à cet emplacement dans le registre : HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
2. Définissez cette clé : DeleteStaticRoutes=1(DWORD)

Pour configurer le registre Windows avec un MDM :

1. Exécutez cette commande : reg add "HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN" /v DeleteStaticRoutes /t REG_DWORD /d 1 /f

Nous travaillons sur des mises à jour pour les autres systèmes d'exploitation affectés, et celles-ci seront émises dès qu'elles seront disponibles.

Recommandations supplémentaires

Pour améliorer la sécurité des réseaux gérés ou dans des scénarios impliquant des réseaux publics ou non fiables, ces recommandations supplémentaires peuvent aider à atténuer la vulnérabilité :

• Atténuer les attaques DHCP sur les réseaux locaux : Les administrateurs peuvent activer des configurations sur les commutateurs réseau telles que le DHCP Snooping pour protéger le réseau de l'introduction d'un serveur DHCP malveillant.
• Utiliser des points d'accès cellulaires : Utiliser un réseau cellulaire plutôt que le Wi-Fi public atténue le risque, car le réseau est contrôlé par le dispositif mobile.
• Désactiver l'Option 121 : Désactivez-la sur les terminaux lorsque cela est possible, en gardant à l'esprit que cela peut perturber certaines connectivités réseau.