16 июля исследователь безопасности Бенджамин Миксон-Бака представил доклад под названием «Атака на системы отслеживания соединений, используемые виртуальными частными сетями (VPN)» на ежегодном мероприятии Privacy Enhancing Technologies Symposium (PETS). В этом исследовании выявлена уязвимость VPN-сервисов под названием «Port Shadow».
Исследование показало, что популярные VPN-программы, такие как OpenVPN, WireGuard и OpenConnect, могут делать пользователей менее защищёнными. Уязвимость позволяет злоумышленникам выступать в роли промежуточного маршрутизатора между пользователем и VPN-сервером. Это может привести к деанонимизации соединений, перенаправлению DNS-запросов и сканированию портов.
Атака также позволяет злоумышленникам перехватывать и перенаправлять данные, используя общие ресурсы на VPN-серверах, такие как порты. Это может привести к прослушке нешифрованных данных, сканированию портов или даже захвату соединений. Исследователи сосредоточились на общих проблемах, характерных для этих протоколов, не рассматривая конкретные VPN-сервисы.
Авторы исследования предлагают ряд рекомендаций для VPN-провайдеров, включая рандомизацию выбора исходного порта, запрет на использование порта прослушивания VPN-сервера в качестве исходного порта и ограничение количества одновременных VPN-соединений. Пользователям рекомендуется подключаться к частным VPN-серверам с эксклюзивным доступом или использовать менее уязвимые протоколы шифрования, такие как ShadowSocks или Tor.
Уязвимость была обнаружена на VPN-серверах, работающих на Linux и FreeBSD, при этом Linux-серверы оказались наиболее подвержены атакам. Разработчики VPN-программ и операционных систем были уведомлены об уязвимости, однако её полное устранение возможно только с помощью определённых правил межсетевого экрана.
Исследование особо отмечает опасность уязвимости для тех, кто использует VPN для обхода цензуры и защиты своей личности, таких как журналисты или активисты, которые могут стать мишенью для злоумышленников, способных перехватывать и перенаправлять их трафик.