Un análisis de seguridad integral ha revelado vulnerabilidades alarmantes que afectan a más de 700 millones de usuarios en múltiples aplicaciones VPN, exponiendo fallas críticas que comprometen la privacidad y la seguridad que estos servicios prometen proteger.
La investigación realizada por expertos en ciberseguridad de la Universidad Estatal de Arizona, Citizen Lab y Bowdoin College ha descubierto tres familias distintas de proveedores de VPN que comparten no solo la propiedad común, sino también las debilidades de seguridad peligrosas que hacen que las comunicaciones de los usuarios sean vulnerables a la intercepción y el descifrado.
La investigación identificó prácticas engañosas entre proveedores de VPN aparentemente independientes que oscurecen deliberadamente su propiedad mientras comparten credenciales criptográficas idénticas e infraestructura de servidores.
Salida de cadenas que muestran referencias a las múltiples aplicaciones VPN de proveedores de VPN supuestamente distintos (fuente – PetSymposium)
Estos proveedores, que operan bajo nombres como Innovative Connecting, Autumn Breeze y Lemon Clove, distribuyen colectivamente aplicaciones que incluyen Turbo VPN, VPN Proxy Master y Snap VPN, entre otros.
La investigación revela que estas aplicaciones contienen contraseñas de SHOWOWSOCKS codificadas que permiten a los atacantes descifrar todo el tráfico de usuarios transmitido a través de sus redes.
Después de un análisis extenso de binarios de aplicación y comunicaciones de redes, analistas de PetSymposium identificado que los defectos de seguridad se derivan de errores de implementación fundamentales en cómo estas aplicaciones VPN manejan materiales criptográficos.
Las claves codificadas en VPN proxy Master habilitan una red Eavesdropper Decrypt Traffic (Fuente-PetSymposium)
La vulnerabilidad más crítica implica claves de cifrado simétricas con codificación dura integradas directamente dentro del código de aplicación, almacenadas en archivos como activos/server_offline.ser y encriptadas usando AES-192-ECB.
Cuando los clientes de VPN establecen conexiones, utilizan una función nativa nationalUtil.
El análisis técnico reveló que estas aplicaciones emplean configuraciones de Shadowsocks en desuso utilizando el conjunto de cifrado RC4-MD5 vulnerable, que carece de verificaciones de integridad adecuadas y permite ataques de Oracle de descifrado.
El análisis de tráfico de red demostró que los atacantes que poseen estas credenciales codificadas pueden descifrar con éxito las comunicaciones de los usuarios en tiempo real, donde las contraseñas de Shadowsocks son visibles tanto en trazas de tiempo de ejecución como en vertederos de memoria.
Mecanismo de infección y arquitectura para compartir credenciales
El mecanismo de explotación de vulnerabilidad se centra en la infraestructura criptográfica compartida en proveedores de VPN supuestamente distintos.
Cada aplicación afectada contiene archivos de configuración idénticos y bibliotecas compartidas que hacen referencia a múltiples aplicaciones VPN dentro de su estructura de código.
La biblioteca libopvpnutil.so contiene referencias explícitas a varios nombres de paquetes VPN, incluido Free.vpn.unblock.Proxy.Turbovpn, free.vpn.unblock.proxy.vpnmaster, y free.vpn.unblock.proxy.vpnmonster, que indica un desarrollo coordinado y una red de provisionales.
Cuando los usuarios se conectan a estos servicios VPN, las aplicaciones intentan descargar archivos de configuración remotos antes de volver a caer a las credenciales codificadas integradas almacenadas en server_offline.ser.
Este diseño permite a los atacantes enumerar servidores VPN adicionales probando las contraseñas extraídas contra direcciones IP dentro de los mismos rangos de red, mapeando efectivamente toda la infraestructura operada por estos proveedores engañosos.
El sistema de credencial compartido también permite el acceso no autorizado a los servicios de VPN, lo que permite a los atacantes establecer túneles no autorizados utilizando los parámetros extraídos de Shadowsocks de cualquier aplicación afectada.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
