Ciberseguridad 360 | Fallas en protocolos de tunelización exponen millones de dispositivos incluyendo VPN y routers

Una nueva investigaci�n ha descubierto vulnerabilidades de seguridad en m�ltiples protocolos de tunelizaci�n que podr�an permitir a los atacantes realizar una amplia gama de ataques.

�Los hosts de Internet que aceptan paquetes de tunneling sin verificar la identidad del remitente pueden ser secuestrados para realizar ataques an�nimos y proporcionar acceso a sus redes�, afirma Top10VPN en un estudio, como parte de una colaboraci�n con el profesor e investigador de KU Leuven Mathy Vanhoef.

Se han detectado hasta 4,2 millones de hosts susceptibles de sufrir estos ataques, incluidos servidores VPN, routers dom�sticos de ISP, routers centrales de Internet, pasarelas de redes m�viles y nodos de redes de distribuci�n de contenidos (CDN). China, Francia, Jap�n, Estados Unidos y Brasil encabezan la lista de los pa�ses m�s afectados.

La explotaci�n exitosa de las deficiencias podr�a permitir a un adversario abusar de un sistema susceptible como proxies unidireccionales, as� como realizar ataques de denegaci�n de servicio (DoS).

�Un adversario puede abusar de estas vulnerabilidades de seguridad para crear proxies unidireccionales y falsificar direcciones IPv4/6 de origen�, dijo el Centro de Coordinaci�n CERT (CERT/CC) en un aviso. �Los sistemas vulnerables tambi�n pueden permitir el acceso a la red privada de una organizaci�n o ser objeto de abuso para realizar ataques DDoS�.

Las vulnerabilidades tienen su origen en el hecho de que los protocolos de tunelizaci�n como IP6IP6, GRE6, 4in6 y 6in4, que se utilizan principalmente para facilitar la transferencia de datos entre dos redes desconectadas, no autentican ni cifran el tr�fico sin protocolos de seguridad adecuados como Internet Protocol Security (IPsec).

La ausencia de barandillas de seguridad adicionales abre la puerta a un escenario en el que un atacante puede inyectar tr�fico malicioso en un t�nel, una variaci�n de un fallo que ya se se�al� en 2020 (CVE-2020-10136).

Se les han asignado los siguientes identificadores CVE para los protocolos en cuesti�n

CVE-2024-7595 (GRE y GRE6)
CVE-2024-7596 (encapsulaci�n UDP gen�rica)
CVE-2025-23018 (IPv4-en-IPv6 e IPv6-en-IPv6)
CVE-2025-23019 (IPv6-en-IPv4)

�Un atacante s�lo tiene que enviar un paquete encapsulado utilizando uno de los protocolos afectados con dos cabeceras IP�, explic� Simon Migliano, de Top10VPN.

�La cabecera externa contiene la IP de origen del atacante con la IP del host vulnerable como destino. La IP de origen de la cabecera interna es la de la IP del host vulnerable y no la del atacante. La IP de destino es la del objetivo del ataque an�nimo�.

As�, cuando el host vulnerable recibe el paquete malicioso, elimina autom�ticamente la cabecera exterior de la direcci�n IP y reenv�a el paquete interior a su destino. Dado que la direcci�n IP de origen en el paquete interno es la del host vulnerable pero de confianza, es capaz de pasar los filtros de red.

Como defensa, se recomienda utilizar IPSec o WireGuard para proporcionar autenticaci�n y cifrado, y s�lo aceptar paquetes de t�nel de fuentes de confianza. A nivel de red, tambi�n se aconseja implementar el filtrado de tr�fico en routers y middleboxes, llevar a cabo una inspecci�n profunda de paquetes (DPI) y bloquear todos los paquetes de t�nel no cifrados.

�El impacto en las v�ctimas de estos ataques DoS puede incluir la congesti�n de la red, la interrupci�n del servicio a medida que los recursos son consumidos por la sobrecarga de tr�fico, y el colapso de los dispositivos de red sobrecargados�, dijo Migliano. �Tambi�n abre oportunidades para una mayor explotaci�n, como los ataques man-in-the-middle y la interceptaci�n de datos�.

Fuente: thehackernews