Vulnerabilidade de Segurança: CVE-2024-3661: Visão de Túnel

Em 6 de maio de 2024, o Leviathan Security Group publicou um artigo detalhando uma técnica para contornar a maioria dos aplicativos VPN (CVE-2024-3661). A técnica permite que atacantes enganem muitos clientes VPN para enviar o tráfego através de um canal lateral e não através do túnel criptografado. O tráfego flui através do canal lateral não encapsulado e pode ser espionado por um atacante. Para mais informações, veja o Blog da Cato.

Gravidade

A pontuação CVSS é 7.6 (Alta)

Impacto

Os clientes impactados são:

  • Windows
  • macOS
  • iOS
  • Linux

Até o momento, a Cato não tem conhecimento de nenhuma tentativa de exploração maliciosa direcionada aos clientes da Cato.

Resolução

No Cliente Windows, use uma chave de registro para ativar o recurso "Excluir Rotas Estáticas". Isso configura o Cliente para excluir todas as rotas estáticas não gerenciadas pela Cato.

Isso entra em vigor na próxima vez que o Cliente se conectar à nuvem da Cato. Se o Sempre Ativo estiver ativado, os usuários podem precisar contornar o Sempre Ativo. Para mais informações sobre como contornar o Sempre Ativo, veja Contornando Temporariamente o Acesso à Internet Segura.

Você pode configurar manualmente a chave do registro ou com um MDM.

Para configurar o registro do Windows manualmente:

  1. Vá para este local no registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
  2. Defina esta chave: DeleteStaticRoutes=1(DWORD)

Para configurar o registro do Windows com um MDM:

  1. Execute este comando: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN" /v DeleteStaticRoutes /t REG_DWORD /d 1 /f

Estamos trabalhando em atualizações para os outros sistemas operacionais afetados, e estas serão emitidas assim que estiverem disponíveis.

Recomendações Adicionais

Para melhorar a segurança em redes gerenciadas ou em cenários envolvendo redes públicas ou de outra forma não confiáveis, estas recomendações adicionais podem ajudar a mitigar a vulnerabilidade:

  • Mitigando ataques DHCP em redes locais: Admins podem habilitar configurações em switches de rede, como o DHCP Snooping, para proteger a rede da introdução de um servidor DHCP falso.
  • Use Hotspots Celulares: Usar uma rede celular em vez de Wi-Fi público mitiga o risco, pois a rede é controlada pelo dispositivo móvel.
  • Desativar Opção 121: Desativá-la em endpoints, quando possível, lembrando que isso pode interromper alguma conectividade de rede.

 

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário