端口可以泄露网络信息(端口故障可能导致用户身份泄露)
端口可以泄露网络信息(端口故障可能导致用户身份泄露)“我们没有测试所有的VPN服务,但是相信其他的很多供应商也存在这个漏洞。”Perfect Privacy称。Perfect Privacy已经就此漏洞通知了相关公司,但是其他许多供应商仍在处理该问题。“我们已经发现了部分供应商存在了该漏洞,并且允许攻击者获取用户的真实地址。Port Fail 影响了提供端口映射的供应商,对于特定攻击无法启动防御机制。”Perfect Privacy 在其官方 Blog 中写道。基本上,如果攻击者通过与受害者相同 VPN 进行连接,那么目标用户的真实 IP 地址就会被映射到一特殊端口并暴露。一场成功的 Port Fail 攻击需要知道受害者 VPN 出口 IP 地址,而对攻击者来说很容易获取到相关信息。“关键问题是,VPN用户会通过自己的默认路由与真实IP地址链接VPN服务器,因为这是链接VPN所必要的。”Blog中写道,同样的攻击也对BitTorrent用
VPN供应商 Perfect Privacy 的安全专家最近发现了被称之为 Port Fail 的新漏洞,该漏洞有可能被利用来泄露 VPN 用户信息。
VPN 供应商 Perfect Privacy 的安全专家最近发现了被称之为 Port Fail 的新漏洞,该漏洞影响所有的 VPN(虚拟专用网)协议以及操作系统。攻击者可以利用该漏洞获取 VPN 用户的真实 IP 地址,这其中也包括 BitTorrent 用户。
Perfect Privacy 的安全专家测试发现,5/9的 VPN 供应商的提供的 VPN 都存在该漏洞。其中供应商 Private Internet Access (PIA),Ovpn.to 与 nVPN 已经在公布前修复了该漏洞。
Perfect Privacy 的安全研究员称该漏洞是一个简单的端口映射问题,影响了所有与端口映射有关的服务的实现,并且没有实现任何防御机制。这个 Port Fail 漏洞影响了包括了IPSec,OpenVPN,PPTP在内的所有 VPN 协议。
“我们已经发现了部分供应商存在了该漏洞,并且允许攻击者获取用户的真实地址。Port Fail 影响了提供端口映射的供应商,对于特定攻击无法启动防御机制。”Perfect Privacy 在其官方 Blog 中写道。
基本上,如果攻击者通过与受害者相同 VPN 进行连接,那么目标用户的真实 IP 地址就会被映射到一特殊端口并暴露。一场成功的 Port Fail 攻击需要知道受害者 VPN 出口 IP 地址,而对攻击者来说很容易获取到相关信息。
“关键问题是,VPN用户会通过自己的默认路由与真实IP地址链接VPN服务器,因为这是链接VPN所必要的。”Blog中写道,同样的攻击也对BitTorrent用户有效。
Perfect Privacy已经就此漏洞通知了相关公司,但是其他许多供应商仍在处理该问题。
“我们没有测试所有的VPN服务,但是相信其他的很多供应商也存在这个漏洞。”Perfect Privacy称。
本文来自威客安全原创翻译,转载请注明来自威客安全。
