Нове дослідження виявило проблеми в декількох протоколах тунелювання. Перед цими багами вразливі понад 4 млн систем, включаючи VPN-сервери та роутери. Експерти попередили, що хости, які приймають тунельні пакети без верифікації відправника, можуть бути зламані, використані для проведення анонімних атак і отримання доступу до мереж.

Дослідження було опубліковано компанією Top10VPN і створено у співпраці з професором і відомим дослідником ІБ з Левенського католицького університету Меті Ванхофом (Mathy Vanhoef) та аспірантом Ангелосом Бейтісом (Angelos Beitis).

Цього разу фахівці вивчили протоколи тунелювання, які використовуються для передачі даних між різними мережами і дозволяють передавати дані, які ті можуть не підтримувати (наприклад, працювати з IPv6 в IPv4-мережі). Для цього вони інкапсулюють одні пакети в інші.

Грунтуючись на результатах попереднього дослідження, яке показало, що хости IPv4 приймають неаутентифікований трафік IPIP з будь-якого джерела, Ванхоф і Бейтіс виявили кілька протоколів тунелювання (включаючи IPIP/IP6IP6, GRE/GRE6, 4in6 і 6in4), які вразливі до зловживань, оскільки не забезпечують аутентифікацію і шифрують трафік без застосування відповідного захисту (наприклад, з використанням IPsec).

«Зловмисникам достатньо надіслати пакет, інкапсульований з використанням одного з уражених протоколів з двома IP-заголовками. Зовнішній заголовок містить вихідну IP-адресу зловмисника, а в якості одержувача вказується IP-адреса вразливого хоста. Внутрішній заголовок містить IP-адресу вразливого хоста, а не атакуючого», — пояснюють фахівці.

У підсумку виявленим вразливостям були присвоєні ідентифікатори CVE CVE-2024-7595 (GRE і GRE6), CVE-2025-23018 (IPv4-in-IPv6 і IPv6-in-IPv6), CVE-2025-23019 (IPv6-in-IPv4) і CVE-2024-7596 (Generic UDP Encapsulation).

В якості захисту фахівці рекомендують використовувати IPSec або WireGuard для забезпечення аутентифікації та шифрування, а також приймати тунельовані пакети тільки від довірених джерел. Також рекомендується на мережевому рівні реалізувати фільтрацію трафіку на маршрутизаторах і проміжних вузлах, використовувати DPI і блокувати всі незашифровані тунельовані пакети.