Sommario
Una recente indagine di Top10VPN ha messo in luce gravi vulnerabilità nei protocolli di tunneling utilizzati da VPN consumer, reti aziendali e router domestici. Queste falle, documentate nei CVE-2024-7595/7596 e CVE-2025-23018/23019, rappresentano una minaccia per milioni di dispositivi in tutto il mondo, aumentando il rischio di violazioni della sicurezza, perdita di dati sensibili e interruzioni delle infrastrutture critiche.
VPN compromesse: consumer, aziendali e istituzionali
Lo studio ha identificato oltre 1.365 server VPN vulnerabili, con un numero stimato che potrebbe arrivare a 46.000 dispositivi compromessi. Questi server accettano pacchetti non autenticati attraverso protocolli come IPIP, GRE e 6in4, consentendo potenziali attacchi informatici su larga scala.
VPN consumer vulnerabili
- AoxVPN, un servizio con oltre un milione di utenti attivi su Android, è stato uno dei casi più rilevanti. I suoi server vulnerabili accettavano traffico IPIP non autenticato, rendendo possibile l’abuso per attacchi DoS e intercettazioni.
- VPN inattive, come AirFalcon e AmanVPN, avevano ancora infrastrutture online con vulnerabilità attive, dimostrando che anche servizi chiusi possono rappresentare una minaccia se non vengono gestiti correttamente.
VPN aziendali e governative
VPN utilizzate da aziende e governi locali negli Stati Uniti sono risultate esposte. Tra i casi segnalati figurano tre server VPN associati a siti web di città americane. Anche se queste vulnerabilità nei protocolli di tunneling sono state successivamente corrette, l’impatto potenziale avrebbe potuto essere significativo, con la possibilità di accedere a dati sensibili o interrompere servizi essenziali.
Router domestici e accesso remoto: una minaccia sottovalutata
Una larga parte delle vulnerabilità nei protocolli di tunneling riguarda i router domestici configurati per l’accesso remoto tramite DNS dinamico. Dispositivi popolari come Synology e FreeboxOS hanno mostrato configurazioni insicure che espongono intere reti domestiche a potenziali attacchi.
FreeboxOS: una vulnerabilità diffusa
- 726.194 router FreeboxOS in Francia sono risultati vulnerabili, accettando traffico tunneling 6in4 non autenticato. Questa falla ha permesso agli attaccanti di sfruttare i router per:
- Spoofare indirizzi IP.
- Condurre attacchi DoS.
- Accedere a dispositivi connessi alle reti domestiche, come telecamere di sicurezza e sistemi di automazione.
Synology e DNS dinamico
- 1.200 router Synology, che utilizzano il servizio VPN Plus Server, hanno mostrato configurazioni che li rendono suscettibili ad accessi non autorizzati. Questi router sono spesso utilizzati da professionisti e piccole aziende, aumentando il rischio di compromissione di dati sensibili.
Implicazioni per le reti aziendali
Le vulnerabilità nei protocolli di tunneling non si limitano ai dispositivi consumer. 171 server VPN aziendali sono stati identificati come vulnerabili, la maggior parte delle quali utilizzava il protocollo GRE. Questi server erano distribuiti in 33 paesi, con Stati Uniti, Cina e Hong Kong tra le nazioni più colpite.
Rischi per le infrastrutture critiche
Gli attacchi che sfruttano queste vulnerabilità possono causare:
- Furto di dati aziendali sensibili, esponendo informazioni confidenziali a usi impropri.
- Interruzioni operative, con impatti significativi sulle infrastrutture critiche come reti energetiche o sistemi di trasporto.
- Accesso persistente a server aziendali, utilizzabili come trampolini per attacchi più ampi.
Azioni correttive e misure di mitigazione
Dopo la divulgazione etica, molte delle vulnerabilità segnalate sono state risolte. In particolare:
- Free ha corretto le configurazioni dei router FreeboxOS per impedire traffico tunneling non autenticato.
- Synology ha migliorato la sicurezza del proprio software VPN Plus Server.
Tuttavia, il numero di dispositivi vulnerabili rimane alto, sottolineando la necessità di interventi più ampi e di una maggiore consapevolezza degli utenti.
Vulnerabilità nei protocolli di tunneling: come proteggersi?
- Aggiornare regolarmente i firmware: dispositivi non aggiornati sono un facile bersaglio per gli attacchi.
- Disabilitare funzioni non necessarie, come il tunneling remoto o l’accesso VPN non utilizzato.
- Implementare firewall e VPN sicure: l’uso di soluzioni di sicurezza avanzate può prevenire la maggior parte delle vulnerabilità sfruttate dagli attacchi segnalati.
Le vulnerabilità nei protocolli di tunneling rappresentano un rischio significativo per la sicurezza di reti domestiche e aziendali. Mentre gli ISP e i produttori di hardware stanno adottando misure per correggere queste falle, è fondamentale che utenti e amministratori di sistema siano proattivi nella protezione dei propri dispositivi e infrastrutture.
