Vulnerabilidad Port Fail en usuarios VPN

CSIRT Panamá Aviso 2015-11- Vulnerabilidad “Port Fail” en usuarios VPN
Gravedad: Alta
Fecha de publicación: Noviembre 27, 2015
Fecha de modificación: Noviembre 27, 2015
Última revisión: Revisión A.
Fuente: www.perfect-privacy.com

Sistemas Afectados
Todos los protocolos VPN y sistemas operativos

I. Descripción
La vulnerabilidad “Port Fail” o “Falla de puerto”, apodada así por elproveedor de VPN que descubrió el problema “Perfect Privacy”, consiste en la obtención de la dirección IP real de origen de una persona que está utilizando un servicio de privacidad por conexión VPN a través de la funcionalidad de reenvío de puertos “port forwarding”. Por la naturaleza del ataque todos los protocolos VPN (IPSec, OpenVPN, PPTP, entre otros) y sistemas operativos son afectados.

Algunos proveedores de VPN que ya han resuelto el problema son: Private Internet Access (PIA), Ovpn.to y nVPN. Los usuarios de Perfect Privacy también están protegidos de éste ataque.

Mitigación

Para clientes VPN:

Usar proveedores de VPN que hayan solventado la vulnerabilidad.

B Para proveedores de VPN:
Usar múltiples direcciones IP y permitir conexiones entrantes a IP1 para conexiones salientes a través de IP2-IPx, mientras se tiene reenvío de puertos en IP2-IPx en vez de IP1. Básicamente deben usar una dirección IP de Hombre en el Medio para reenviar el tráfico. Implementar un cortafuegos del lado del servidor para bloquear el acceso de una dirección IP real de un cliente hacia cualquier conexión por reenvío de puertos que no sea del cliente.

II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial de la confidencialidad del sistema.

III. Referencia a soluciones, herramientas e información

  • https://www.perfect-privacy.com/blog/2015/11/26/ip-leak-vulnerability-affecting-vpn-providers-with-port-forwarding/
  • http://thehackernews.com/2015/11/vpn-hacking.html

IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: http://www.cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124