420万主机暴露安全漏洞，VPN还能放心用吗？

420万主机暴露安全漏洞，VPN还能放心用吗？

引用

安全内参

等

9

来源

1.

https://www.secrss.com/articles/74700

2.

https://finance.sina.com.cn/tech/roll/2025-01-21/doc-ineftfic8115836.shtml

3.

https://www.freebuf.com/news/420386.html

4.

https://www.ichioo.net/net/152.html

5.

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11578

6.

https://www.splashtop.com/tw/blog/vpn-security-risks?srsltid=AfmBOoq1oJzwd3XMGRUxxi73V3nly4bOQjGcMUtSUf4K0ibpJlen-OMz

7.

https://www.yijinglab.com/industry/20250122084807

8.

https://www.cisco.com/c/zh_cn/support/docs/security/secure-firewall-threat-defense/221806-password-spray-attacks-impacting-custome.html

9.

https://www.keepersecurity.com/blog/zh-hans/2024/03/29/does-a-vpn-protect-you-from-hackers/

近期一项安全研究揭示，全球有420万台主机存在严重安全漏洞，其中包括大量VPN设备和路由器。这些漏洞可能让攻击者在未经身份验证的情况下劫持网络主机，对用户隐私和网络安全构成重大威胁。

2025年1月，一项由Top10VPN与比利时鲁汶大学教授Mathy Vanhoef合作开展的研究震惊了整个网络安全界。研究发现，多达420万台主机因隧道协议安全漏洞而处于风险之中，这些主机包括VPN服务器、ISP家庭路由器、核心互联网路由器、移动网络网关以及内容分发网络（CDN）节点。

受影响最严重的国家包括中国、法国、日本、美国和巴西。这些漏洞源于多个隧道协议（如IP6IP6、GRE6、4in6和6in4）缺乏足够的安全防护措施。在没有互联网协议安全（IPsec）等安全协议的情况下，这些协议不会对流量进行身份验证和加密，从而留下安全隐患。

研究指出，攻击者可以利用这些漏洞发起多种攻击。具体来说，攻击者只需发送一个使用受影响协议封装的双重IP标头数据包。外层标头包含攻击者的源IP和目标主机的IP，内层标头的源IP则是易受攻击主机的IP而非攻击者的IP。当易受攻击的主机收到恶意数据包时，会自动移除外层IP标头并转发内层数据包至目的地。由于内层数据包的源IP是来自受信任的主机，因此能够绕过网络过滤器。

美国CERT协调中心（CERT/CC）警告，这些安全漏洞可能被滥用以创建单向代理并伪造IPv4/IPv6源地址。受影响的系统不仅可能被用于发动拒绝服务（DoS）攻击，还可能允许攻击者访问组织的私有网络，为进一步的攻击提供机会。

事实上，VPN的安全问题远不止于此。VPN虽然能提供一定程度的隐私保护和数据加密，但其固有的安全风险不容忽视：

• 身份验证薄弱：VPN无法强制执行严格的身份验证策略，一旦用户凭证被窃取，攻击者就能轻易获得网络访问权限。
• 设备风险：VPN允许从任何设备连接，包括可能存在漏洞的设备，这增加了数据泄露的风险。
• 访问控制难题：VPN采用全有或全无的访问模式，难以实现细粒度的权限管理。
• 维护困难：VPN的维护工作繁琐，需要手动更新每个设备，这不仅耗时耗力，还可能引入新的安全风险。

面对这些安全威胁，专家建议采取以下措施：

1. 加强身份验证：使用IPSec或WireGuard等安全协议，确保数据传输过程中的身份验证和加密。
2. 实施流量过滤：在网络层面部署流量过滤机制，执行深度包检测（DPI），并阻止所有未加密的隧道数据包。
3. 采用零信任架构：假设所有用户都是潜在威胁，通过多层验证机制来保护数据安全。
4. 使用远程访问软件：考虑用远程访问软件替代传统VPN，实现更安全的远程工作方式。

随着远程工作和数字化转型的加速，VPN的安全问题日益凸显。此次420万台主机暴露安全漏洞的事件再次敲响了警钟：网络安全无小事，企业和个人都应时刻保持警惕，及时采取必要的安全措施，以应对不断演变的网络威胁。