Група дослідників з Левенського католичного університету виявила серію критичних вразливостей у поширених протоколах тунелювання, що ставить під загрозу безпеку понад 4,26 мільйонів мережевих пристроїв по всьому світу. Проблема стосується базових механізмів автентифікації та може призвести до масштабних кібератак.
Технічний аналіз виявлених вразливостей
Дослідження, проведене під керівництвом професора Мэті Ванхофа, виявило серйозні недоліки в протоколах IPIP/IP6IP6, GRE/GRE6, 4in6 та 6in4. Ключова проблема полягає у відсутності належної перевірки автентичності відправників тунельних пакетів, що створює потенційні вектори для різноманітних кібератак.
Потенційні загрози та сценарії атак
За оцінками експертів, зловмисники можуть використовувати вразливі системи для:
- Організації анонімних мережевих атак через компрометовані хости
- Створення неконтрольованих проксі-серверів
- Проведення масштабних DDoS-атак
- Підміни DNS-запитів та перехоплення трафіку
- Несанкціонованого доступу до корпоративних мереж
Географія поширення вразливих систем
Найбільша концентрація вразливих пристроїв зафіксована у п’яти країнах: Китаї, Франції, Японії, США та Бразилії. Особливе занепокоєння викликає той факт, що близько 1,8 мільйона вразливих хостів можуть бути використані для спуфінг-атак.
Рекомендації щодо захисту мережевої інфраструктури
Для мінімізації ризиків експерти рекомендують впровадити наступні заходи:
- Міграція на захищені протоколи тунелювання (IPSec, WireGuard)
- Впровадження строгої фільтрації тунельного трафіку
- Налаштування прийому пакетів лише від довірених джерел
- Застосування систем глибокого аналізу трафіку
- Блокування незашифрованих тунельних з’єднань
Виявленим вразливостям присвоєно ідентифікатори CVE-2024-7595, CVE-2025-23018, CVE-2025-23019 та CVE-2024-7596. Організаціям наполегливо рекомендується провести аудит мережевої інфраструктури та впровадити необхідні заходи захисту. Враховуючи масштаб загрози, оперативне реагування на виявлені вразливості є критично важливим для забезпечення безпеки корпоративних мереж.
