นักวิจัยสามารถ Decrypt ทราฟฟิค HTTP ในการเชื่อมต่อ VPN ได้ด้วยการโจมตีแบบ ‘VORACLE’

ในงาน DEF CON ที่ ลาส เวกัส นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ Ahamed Nafeez ได้นำเสนอวิธีการโจมตีที่สามารถ​ Decrypt​ ทราฟฟิค HTTP ที่ถูกเข้ารหัสภายใต้การเชื่อมต่อ VPN ได้ โดยให้ชื่อวิธีการโจมตีครั้งนี้ว่า VORACLE

credit : bleepingcomputer

แนวทางของ VORACLE ไม่ใช่วิธีการใหม่นักเพราะเกิดจากการเปลี่ยนเป้าหมายการโจมตีทางการเข้ารหัสแบบเก่า เช่นวิธี CRIME , TIME และ BREACH โดยวิธีการเหล่านี้เกิดกับการบีบอัดข้อมูลก่อนเข้ารหัสการเชื่อมต่อด้วย TLS และได้ถูกแก้ไขไปแล้วช่วงปี 2012-2013 แต่ในกรณีของ VORACLE นักวิจัยได้ชี้ให้เห็นว่ายังสามารถประยุกต์ใช้วิธีการคล้ายกันกับทราฟฟิค HTTP ที่ถูกบีบอัดและเข้ารหัสในการใช้งาน VPN

อย่างไรก็ตาม Nafeez ได้กล่าวว่าวิธีการของตนนั้นสามารถใช้ได้กับ VPN Service หรือ Client ที่สร้างบนโปรโตคอล OpenVPN เท่านั้นเพราะโดยพื้นฐานแล้วจะถูกตั้งค่าให้บีบอัดข้อมูลก่อนเข้ารหัสผ่าน TLS ซึ่งตรงกับเงื่อนไขในการโจมตีแบบเก่าข้างต้น นักวิจัยกล่าวถึงวิธีการโจมตีว่าคนร้ายล่อเหยื่อไปใช้งาน HTTP ไซต์ที่ตนเข้าควบคุมแล้วหรือสามารถลอบรันโค้ดอันตรายได้เสียก่อน (ผ่านทางโฆษณาแฝงอันตราย เป็นต้น) จากนั้นคนร้ายจึงจะสามารถขโมยและถอดรหัสข้อมูลความลับ เช่น Session Cookie ได้เพื่อใช้ล็อกอินเว็บไซต์ในฐานะของเหยื่อ

วิธีป้องกันการโจมตีแบบ VORACLE

  • ใช้งาน VPN Service หรือ Client ที่สามารถเปลี่ยนไปใช้งานโปรโตคอลที่ไม่ใช่ OpenVPN ได้
  • อย่าเข้าเว็บไซต์ที่ไม่ใช้ HTTPS
  • ใช้ Chrome หรือ Browser อื่นที่มีกลไกการทำ HTTP Request เป็นหลายส่วน แต่ Firefox ยังได้รับผลกระทบเพราะมีการส่ง HTTP Request เป็นแพ็กเกจใหญ่ทีเดียว

เมื่อนักวิจัยแจ้งไปยัง OpenVPN แล้วแต่ไม่ได้รับการแก้ไขเพียงแต่มีการแสดงแจ้งเตือนอย่างชัดเจนในเอกสารถึงการบีบอัดข้อมูลก่อนการเข้ารหัสเท่านั้น อาจเพราะกลไกการบีบอัดข้อมูลช่วยในเรื่องของประสิทธิภาพการส่งข้อมูลนั่นเอง อย่างไรก็ดีจากการศึกษาของนักวิจัยบริการ VPN อย่าง Tunnel Bear ได้ลบการรองรับการบีบอัดข้อมูลจากเซิร์ฟเวอร์ OpenVPN ของตนแล้ว ผู้สนใจสามารถดูโค้ด PoC ได้บน GitHub

ที่มา : https://www.bleepingcomputer.com/news/security/voracle-attack-can-recover-http-data-from-vpn-connections/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …