Уязвимость безопасности: CVE-2024-3661: Tunnel Vision

6 мая 2024 года левиафанская группа безопасности опубликовала статью, описывающую технику обхода большинства VPN-приложений (CVE-2024-3661). Эта техника позволяет злоумышленникам обмануть множество VPN-клиентов, заставляя их отправлять трафик через побочный канал, а не через зашифрованный туннель. Трафик проходит через побочный канал без инкапсуляции и может быть перехвачен злоумышленником. Для получения более подробной информации смотрите блог Cato.

Серьезность

Оценка CVSS 7.6 (Высокая)

Воздействие

Затронутые клиенты:

  • Windows
  • macOS
  • iOS
  • Linux

На сегодняшний день Cato не известно о каких-либо злонамеренных попытках эксплуатации, направленных на клиентов Cato.

Решение

На клиенте Windows используйте ключ реестра для активации функции "Удалить статические маршруты". Это настраивает клиента на удаление всех статических маршрутов, не управляющихся Cato.

Это вступит в силу при следующем подключении клиента к облаку Cato. Если включена функция Always-On, пользователям может потребоваться обойти Always-On. Для получения более подробной информации о том, как обойти Always-On, смотрите временно обход доступа в защищенный интернет.

Вы можете настроить ключ реестра вручную или с помощью MDM.

Чтобы вручную настроить реестр Windows:

  1. Перейдите в это местоположение в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
  2. Определите этот ключ: DeleteStaticRoutes=1(DWORD)

Чтобы настроить реестр Windows с помощью MDM:

  1. Выполните эту команду: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN" /v DeleteStaticRoutes /t REG_DWORD /d 1 /f

Мы работаем над обновлениями для других затронутых операционных систем, и они будут выпущены по мере их готовности.

Дополнительные рекомендации

Для повышения безопасности в управляемых сетях или в сценариях, предполагающих работу с публичными или иными недоверенными сетями, эти дополнительные рекомендации помогут смягчить уязвимость:

  • Снижение атак DHCP в локальных сетях: администраторы могут включать конфигурации на сетевых коммутаторах, такие как DHCP Snooping, чтобы защитить сеть от введения ложного сервера DHCP.
  • Использование сотовых точек доступа: использование сотовой сети вместо публичного Wi-Fi снижает риск, так как сеть контролируется мобильным устройством.
  • Отключить параметр 121: отключите его на конечных точках, где возможно, учитывая, что это может нарушить часть сетевой связности.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев