by 樽井 秀人
脆弱性ポータルサイトJVNは5月10日、脆弱性レポート「JVNTA#94876636」を公開した。DHCPのオプション121をサポートする環境でVPN接続する場合、トラフィックの宛先を強制的に変更し、VPNトンネル外に送信することでカプセル化を回避することができる問題(CVE-2024-3661)が報告されているという。
DHCP(Dynamic Host Configuration Protocol)はデバイスのユーザーが手動でネットワーク設定を行わなくても、ネットワーク管理者側で適切な設定を自動的に適用できるようにする技術だが、その一部としてネットワーク管理者がクライアントのルーティングテーブルにスタティックルートを指定できる「オプション121クラスレススタティックルート」が定義されている(RFC 3442)。しかし、このオプション121にはVPNクライアントと同じローカルネットワーク上にいる攻撃者が悪用できてしまう欠陥があり、ルーティングテーブルを操作して、VPNクライアントのトラフィックをVPN以外の不正なネットワークに強制的に送信できる可能性があるという。
この問題は「TunnelVision」と呼称されており、VPN宛のトラフィックをローカルネットワークにリダイレクトし、VPNを完全にバイパスできてしまう(Decloaking、クローキング解除)。クライアント側からは安全なVPNに接続されているように見えるが、まったく保護されていない状態となる。VPN上で平文通信が行われていれば攻撃者にその内容を盗み見られてしまうほか、通信が暗号化されていても、VPN接続では入手できないはずの宛先IPアドレスおよび送信元IPアドレスの情報を取得される可能性がある。
この問題はWindows、macOS、Linux、iOSなど、RFC 3442仕様に従ってDHCPクライアントを実装し、DHCPのオプション121をサポートするOSに影響する。Androidは DHCPオプション121をサポートしていないため、本問題の影響を受けない。また、発見者によると2024年5月6日現在、悪用の証拠は確認されていないとのこと。
対策としては、VPNベンダーがネットワーク名前空間を活用した実装を行うことが考えられる。ユーザーは信頼できないネットワークを利用しないように心がけるしかない。
