Máy chủ VPN và bộ định tuyến riêng là một phần của hơn 4 triệu máy chủ internet dễ bị tội phạm mạng tấn công.
Các lỗ hổng trong nhiều giao thức đường hầm, bao gồm IPIP và GRE, cho phép kẻ tấn công truy cập vào các máy chủ internet bị ảnh hưởng, thực hiện các cuộc tấn công ẩn danh và truy cập mạng trái phép.
Có vẻ như không có máy chủ nào thuộc về các VPN tốt nhất bị ảnh hưởng, nhưng mối đe dọa đối với các máy chủ VPN trên toàn thế giới và bộ định tuyến gia đình của mọi người là rất đáng lo ngại.
Loại lỗ hổng liên quan đến các gói đường hầm. Đây là khi dữ liệu được di chuyển từ mạng này sang mạng khác và có thể được mã hóa để ẩn bản chất của dữ liệu đang được di chuyển.
Trong trường hợp này, máy chủ internet chấp nhận các gói đường hầm mà không xác minh danh tính của người gửi. Tin tặc có thể gửi dữ liệu để tấn công và truy cập vào thiết bị hoặc mạng của nạn nhân.
Máy chủ dễ bị tấn công có thể bị lạm dụng làm proxy một chiều, cho phép khả năng tấn công ẩn danh. Nhiều máy chủ cũng cho phép giả mạo IP nguồn để tránh bị phát hiện và các cuộc tấn công liên quan đến kỹ thuật từ chối dịch vụ (DoS) và giả mạo DNS cũng có thể xảy ra.
Kết quả quét của top10vpn.com đã xác định IPIP, IP6IP6, GRE, GRE6, 4in6 và 6in4 là các giao thức đường hầm dễ bị tấn công, trong đó Trung Quốc, Pháp, Nhật Bản, Brazil và Hoa Kỳ là quốc gia bị ảnh hưởng nhiều nhất.
Vấn đề là các giao thức này không xác thực hoặc mã hóa lưu lượng và để chúng được bảo mật, chúng phải được kết hợp với Bảo mật Giao thức Internet (IPsec).
Tổng số máy chủ dễ bị tấn công là 4.262.893 và 1.858.892 trong số đó có khả năng giả mạo.
Trong báo cáo, Simon Migliano của top10vpn.com cho biết "tất cả các máy chủ dễ bị tấn công đều có thể bị chiếm đoạt để thực hiện các cuộc tấn công ẩn danh vì các tiêu đề gói tin bên ngoài chứa địa chỉ IP thực của kẻ tấn công đã bị xóa. Tuy nhiên, các cuộc tấn công này có thể dễ dàng truy tìm đến máy chủ bị xâm phạm, sau đó có thể được bảo mật."
"Các máy chủ có khả năng giả mạo có thể có bất kỳ địa chỉ IP nào làm địa chỉ nguồn trong gói tin bên trong, do đó, kẻ tấn công không chỉ ẩn danh mà máy chủ bị xâm phạm cũng trở nên khó phát hiện và bảo mật hơn nhiều."
IPIP và IP6IP6 không có xác thực hoặc mã hóa riêng, nhưng OpenVPN có thể sử dụng nó, cùng với mã hóa riêng của nó, để cung cấp thêm một lớp trừu tượng và linh hoạt.
Ít nhất 1.365 máy chủ VPN có khả năng được xác định là dễ bị tấn công trong các lần quét của top10vpn.com nhưng tổng số thực tế có thể lớn hơn nhiều, với 46.000 máy chủ được ước tính.
Trong số 1.365 máy chủ, ít nhất 130 máy chủ dường như được kết nối với các dịch vụ VPN dành cho người tiêu dùng. Như đã đề cập, không có nhà cung cấp VPN hàng đầu nào được liệt kê.
17 máy chủ dễ bị tấn công liên quan đến AoxVPN có trụ sở tại Singapore đã được xác định. VPN này có hơn một triệu lượt cài đặt Android đang hoạt động và cũng khả dụng trên Windows, iOS và macOS. Một số tên miền liên quan đã được xác định, bao gồm cả máy chủ lưu trữ trang web aoxvpn.com.
AoxVPN dường như là dịch vụ VPN đang hoạt động duy nhất bị ảnh hưởng, nhưng các VPN dường như đã ngừng hoạt động, với các máy chủ vẫn trực tuyến, cũng đã được phát hiện. Các tên miền liên quan đến AirFalcon VPN có trụ sở tại Indonesia và AmanVPN có trụ sở tại Hồng Kông đã được phát hiện chấp nhận lưu lượng đường hầm chưa xác thực.
Giao thức GRE được xác định là ảnh hưởng đến khoảng 123 tên miền VPN được kết nối với các doanh nghiệp hoặc tổ chức. Tổng cộng có 171 máy chủ bị ảnh hưởng, trong đó 6in4, IPIP và 4in6 gây ra sự cố cho 48 máy chủ còn lại.
171 máy chủ này hiện diện ở 33 quốc gia. 39 máy chủ ở Hoa Kỳ, 31 ở Trung Quốc, 28 ở Hồng Kông, 15 ở Canada và 12 ở Pháp.
Nhưng 17% trong số tất cả các máy chủ dễ bị tấn công (726.194) là kết quả của việc cấu hình sai trong bộ định tuyến gia đình của ISP Free của Pháp.
Các bộ định tuyến có tên máy chủ *.fbxo.proxad.net đã chấp nhận các gói tin đường hầm 6in4 dạng văn bản thuần túy chưa xác thực từ bất kỳ nguồn nào.
Điều này khiến bộ định tuyến gia đình của khách hàng dễ bị tấn công và mở ra các cuộc tấn công DoS, cũng như có các thiết bị được kết nối với mạng gia đình của họ trở thành mục tiêu.
Các thiết bị thông minh, chẳng hạn như camera an ninh hoặc hệ thống tự động hóa gia đình, được kết nối với bộ định tuyến có thể gặp rủi ro, cùng với bất kỳ thiết bị không an toàn nào.
Top10vpn.com đã báo cáo rằng Free đã bảo mật các bộ định tuyến bị ảnh hưởng của mình sau khi biết về lỗ hổng bảo mật. Tuy nhiên, vẫn đáng để làm rõ điều này nếu bạn là khách hàng Free.
Free không phải là ISP duy nhất bị ảnh hưởng vì các lỗ hổng cũng ảnh hưởng đến ISP Nhật Bản Softbank, ISP Ireland Eircom Ltd và ISP Colombia và Chile Telmex.
Về phía máy chủ, đảm bảo chỉ chấp nhận các gói tin đường hầm đáng tin cậy là bước đầu tiên tốt và bạn nên đảm bảo rằng mình được bảo vệ bằng mã hóa và IPsec. Bạn cũng có thể cân nhắc sử dụng giao thức an toàn hơn, chẳng hạn như WireGuard.
Nếu bạn kiểm soát được mạng của mình, bạn có thể triển khai lọc lưu lượng. Bạn có thể thực hiện Kiểm tra gói sâu (DPI) để tìm các gói tin độc hại cũng như chặn tất cả các gói tin chưa được mã hóa.
Ở cấp độ người tiêu dùng, hãy đảm bảo rằng bạn đang sử dụng nhà cung cấp VPN đáng tin cậy và an toàn. Chúng tôi sẽ giới thiệu bất kỳ nhà cung cấp nào trên trang VPN tốt nhất của chúng tôi, với nhiều nhà cung cấp cung cấp mạng và máy chủ bảo mật và quyền riêng tư hàng đầu.
Một VPN đáng tin cậy sẽ mã hóa lưu lượng và bảo vệ thiết bị của bạn khỏi bên thứ ba và tin tặc. VPN sẽ được cập nhật thường xuyên để đảm bảo bạn luôn nhận được sự bảo vệ tốt nhất có thể.
Nhiều VPN cung cấp khả năng bảo vệ cho nhiều thiết bị trên một gói, một số thậm chí còn bảo vệ số lượng thiết bị không giới hạn. Do đó, tất cả các thiết bị trong nhà bạn đều có thể được hưởng lợi từ tính năng bảo vệ của VPN, giúp bạn an tâm hơn.
ExpressVPN | 2 năm + 4 tháng MIỄN PHÍ | 4,99 đô la mỗi tháng
ExpressVPN rất phù hợp cho người mới bắt đầu và cung cấp quyền riêng tư hàng đầu cho tối đa 8 thiết bị trên một gói. Nó có hơn 3.000 máy chủ tại 105 quốc gia, có thể bỏ chặn tất cả các trang web phát trực tuyến yêu thích của bạn và rất tốt cho việc tải torrent. Gói 2 năm của nó có giá là $4,99 mỗi tháng (trả trước 139,72 đô la) và ExpressVPN gần đây đã giới thiệu một loạt các tính năng mới mà không mất thêm chi phí, bao gồm Identity Defender và Credit Scanner. Bạn cũng nhận được một eSIM miễn phí, 4 tháng bảo vệ miễn phí và bảo đảm hoàn tiền trong vòng 30 ngày.
Xem Ưu đãi
Nếu bạn muốn bảo vệ tại nguồn hoặc bạn có nhiều thiết bị thông minh mà bạn không thể cài đặt VPN, hãy cân nhắc VPN trên bộ định tuyến. Bạn có thể cài đặt VPN trên bộ định tuyến bằng phần mềm cụ thể và điều này sẽ bảo vệ mọi thiết bị trên mạng gia đình của bạn.
Nhiệm vụ này không phải là đơn giản nhất, nhưng nếu bạn vẫn muốn bảo vệ mạng gia đình của mình thì bộ định tuyến Aircove của ExpressVPN là một lựa chọn. Phần cứng có thể mua được và được cài đặt sẵn phần mềm ExpressVPN, do đó không cần phải vật lộn để cài đặt VPN trên bộ định tuyến hiện tại của bạn. ExpressVPN xếp thứ ba trong danh sách VPN của chúng tôi và là VPN tốt nhất cho người mới bắt đầu, do đó bạn có thể chắc chắn về khả năng bảo vệ hàng đầu.
Các lỗ hổng trong nhiều giao thức đường hầm, bao gồm IPIP và GRE, cho phép kẻ tấn công truy cập vào các máy chủ internet bị ảnh hưởng, thực hiện các cuộc tấn công ẩn danh và truy cập mạng trái phép.
Có vẻ như không có máy chủ nào thuộc về các VPN tốt nhất bị ảnh hưởng, nhưng mối đe dọa đối với các máy chủ VPN trên toàn thế giới và bộ định tuyến gia đình của mọi người là rất đáng lo ngại.
Chuyện gì đã xảy ra?
Các lỗ hổng được phát hiện bởi Top10VPN cùng với nhà nghiên cứu bảo mật Mathy Vanhoef. Một cuộc quét internet quy mô lớn đã xác định được 4,26 triệu máy chủ đường hầm mở có nguy cơ, bao gồm máy chủ VPN, bộ định tuyến gia đình ISP, cổng mạng di động và bộ định tuyến internet cốt lõi.Loại lỗ hổng liên quan đến các gói đường hầm. Đây là khi dữ liệu được di chuyển từ mạng này sang mạng khác và có thể được mã hóa để ẩn bản chất của dữ liệu đang được di chuyển.
Trong trường hợp này, máy chủ internet chấp nhận các gói đường hầm mà không xác minh danh tính của người gửi. Tin tặc có thể gửi dữ liệu để tấn công và truy cập vào thiết bị hoặc mạng của nạn nhân.
Máy chủ dễ bị tấn công có thể bị lạm dụng làm proxy một chiều, cho phép khả năng tấn công ẩn danh. Nhiều máy chủ cũng cho phép giả mạo IP nguồn để tránh bị phát hiện và các cuộc tấn công liên quan đến kỹ thuật từ chối dịch vụ (DoS) và giả mạo DNS cũng có thể xảy ra.
Kết quả quét của top10vpn.com đã xác định IPIP, IP6IP6, GRE, GRE6, 4in6 và 6in4 là các giao thức đường hầm dễ bị tấn công, trong đó Trung Quốc, Pháp, Nhật Bản, Brazil và Hoa Kỳ là quốc gia bị ảnh hưởng nhiều nhất.
Vấn đề là các giao thức này không xác thực hoặc mã hóa lưu lượng và để chúng được bảo mật, chúng phải được kết hợp với Bảo mật Giao thức Internet (IPsec).
Tổng số máy chủ dễ bị tấn công là 4.262.893 và 1.858.892 trong số đó có khả năng giả mạo.
Trong báo cáo, Simon Migliano của top10vpn.com cho biết "tất cả các máy chủ dễ bị tấn công đều có thể bị chiếm đoạt để thực hiện các cuộc tấn công ẩn danh vì các tiêu đề gói tin bên ngoài chứa địa chỉ IP thực của kẻ tấn công đã bị xóa. Tuy nhiên, các cuộc tấn công này có thể dễ dàng truy tìm đến máy chủ bị xâm phạm, sau đó có thể được bảo mật."
"Các máy chủ có khả năng giả mạo có thể có bất kỳ địa chỉ IP nào làm địa chỉ nguồn trong gói tin bên trong, do đó, kẻ tấn công không chỉ ẩn danh mà máy chủ bị xâm phạm cũng trở nên khó phát hiện và bảo mật hơn nhiều."
Tác động đến VPN
Chúng ta phải xem xét tác động lên VPN chặt chẽ hơn và xác định mối đe dọa của nó. IPIP và IP6IP6 thường được sử dụng trong định tuyến dựa trên Linux và cũng có thể được sử dụng bởi giao thức OpenVPN.IPIP và IP6IP6 không có xác thực hoặc mã hóa riêng, nhưng OpenVPN có thể sử dụng nó, cùng với mã hóa riêng của nó, để cung cấp thêm một lớp trừu tượng và linh hoạt.
Ít nhất 1.365 máy chủ VPN có khả năng được xác định là dễ bị tấn công trong các lần quét của top10vpn.com nhưng tổng số thực tế có thể lớn hơn nhiều, với 46.000 máy chủ được ước tính.
Trong số 1.365 máy chủ, ít nhất 130 máy chủ dường như được kết nối với các dịch vụ VPN dành cho người tiêu dùng. Như đã đề cập, không có nhà cung cấp VPN hàng đầu nào được liệt kê.
17 máy chủ dễ bị tấn công liên quan đến AoxVPN có trụ sở tại Singapore đã được xác định. VPN này có hơn một triệu lượt cài đặt Android đang hoạt động và cũng khả dụng trên Windows, iOS và macOS. Một số tên miền liên quan đã được xác định, bao gồm cả máy chủ lưu trữ trang web aoxvpn.com.
AoxVPN dường như là dịch vụ VPN đang hoạt động duy nhất bị ảnh hưởng, nhưng các VPN dường như đã ngừng hoạt động, với các máy chủ vẫn trực tuyến, cũng đã được phát hiện. Các tên miền liên quan đến AirFalcon VPN có trụ sở tại Indonesia và AmanVPN có trụ sở tại Hồng Kông đã được phát hiện chấp nhận lưu lượng đường hầm chưa xác thực.
Giao thức GRE được xác định là ảnh hưởng đến khoảng 123 tên miền VPN được kết nối với các doanh nghiệp hoặc tổ chức. Tổng cộng có 171 máy chủ bị ảnh hưởng, trong đó 6in4, IPIP và 4in6 gây ra sự cố cho 48 máy chủ còn lại.
171 máy chủ này hiện diện ở 33 quốc gia. 39 máy chủ ở Hoa Kỳ, 31 ở Trung Quốc, 28 ở Hồng Kông, 15 ở Canada và 12 ở Pháp.
Bộ định tuyến tại nhà của tôi có gặp rủi ro không?
Trừ khi bạn sống ở Pháp và Nhà cung cấp dịch vụ Internet (ISP) của bạn là "Free", thì không, không phải vậy – ít nhất là không phải từ lỗ hổng bảo mật này.Nhưng 17% trong số tất cả các máy chủ dễ bị tấn công (726.194) là kết quả của việc cấu hình sai trong bộ định tuyến gia đình của ISP Free của Pháp.
Các bộ định tuyến có tên máy chủ *.fbxo.proxad.net đã chấp nhận các gói tin đường hầm 6in4 dạng văn bản thuần túy chưa xác thực từ bất kỳ nguồn nào.
Điều này khiến bộ định tuyến gia đình của khách hàng dễ bị tấn công và mở ra các cuộc tấn công DoS, cũng như có các thiết bị được kết nối với mạng gia đình của họ trở thành mục tiêu.
Các thiết bị thông minh, chẳng hạn như camera an ninh hoặc hệ thống tự động hóa gia đình, được kết nối với bộ định tuyến có thể gặp rủi ro, cùng với bất kỳ thiết bị không an toàn nào.
Top10vpn.com đã báo cáo rằng Free đã bảo mật các bộ định tuyến bị ảnh hưởng của mình sau khi biết về lỗ hổng bảo mật. Tuy nhiên, vẫn đáng để làm rõ điều này nếu bạn là khách hàng Free.
Free không phải là ISP duy nhất bị ảnh hưởng vì các lỗ hổng cũng ảnh hưởng đến ISP Nhật Bản Softbank, ISP Ireland Eircom Ltd và ISP Colombia và Chile Telmex.
Cách tự bảo vệ mình
Phần lớn mọi người sẽ không bị ảnh hưởng bởi các lỗ hổng này, nhưng biết cách tự bảo vệ mình vẫn quan trọng.Về phía máy chủ, đảm bảo chỉ chấp nhận các gói tin đường hầm đáng tin cậy là bước đầu tiên tốt và bạn nên đảm bảo rằng mình được bảo vệ bằng mã hóa và IPsec. Bạn cũng có thể cân nhắc sử dụng giao thức an toàn hơn, chẳng hạn như WireGuard.
Nếu bạn kiểm soát được mạng của mình, bạn có thể triển khai lọc lưu lượng. Bạn có thể thực hiện Kiểm tra gói sâu (DPI) để tìm các gói tin độc hại cũng như chặn tất cả các gói tin chưa được mã hóa.
Ở cấp độ người tiêu dùng, hãy đảm bảo rằng bạn đang sử dụng nhà cung cấp VPN đáng tin cậy và an toàn. Chúng tôi sẽ giới thiệu bất kỳ nhà cung cấp nào trên trang VPN tốt nhất của chúng tôi, với nhiều nhà cung cấp cung cấp mạng và máy chủ bảo mật và quyền riêng tư hàng đầu.
Một VPN đáng tin cậy sẽ mã hóa lưu lượng và bảo vệ thiết bị của bạn khỏi bên thứ ba và tin tặc. VPN sẽ được cập nhật thường xuyên để đảm bảo bạn luôn nhận được sự bảo vệ tốt nhất có thể.
Nhiều VPN cung cấp khả năng bảo vệ cho nhiều thiết bị trên một gói, một số thậm chí còn bảo vệ số lượng thiết bị không giới hạn. Do đó, tất cả các thiết bị trong nhà bạn đều có thể được hưởng lợi từ tính năng bảo vệ của VPN, giúp bạn an tâm hơn.
ExpressVPN | 2 năm + 4 tháng MIỄN PHÍ | 4,99 đô la mỗi tháng
ExpressVPN rất phù hợp cho người mới bắt đầu và cung cấp quyền riêng tư hàng đầu cho tối đa 8 thiết bị trên một gói. Nó có hơn 3.000 máy chủ tại 105 quốc gia, có thể bỏ chặn tất cả các trang web phát trực tuyến yêu thích của bạn và rất tốt cho việc tải torrent. Gói 2 năm của nó có giá là $4,99 mỗi tháng (trả trước 139,72 đô la) và ExpressVPN gần đây đã giới thiệu một loạt các tính năng mới mà không mất thêm chi phí, bao gồm Identity Defender và Credit Scanner. Bạn cũng nhận được một eSIM miễn phí, 4 tháng bảo vệ miễn phí và bảo đảm hoàn tiền trong vòng 30 ngày.
Xem Ưu đãi
Nếu bạn muốn bảo vệ tại nguồn hoặc bạn có nhiều thiết bị thông minh mà bạn không thể cài đặt VPN, hãy cân nhắc VPN trên bộ định tuyến. Bạn có thể cài đặt VPN trên bộ định tuyến bằng phần mềm cụ thể và điều này sẽ bảo vệ mọi thiết bị trên mạng gia đình của bạn.
Nhiệm vụ này không phải là đơn giản nhất, nhưng nếu bạn vẫn muốn bảo vệ mạng gia đình của mình thì bộ định tuyến Aircove của ExpressVPN là một lựa chọn. Phần cứng có thể mua được và được cài đặt sẵn phần mềm ExpressVPN, do đó không cần phải vật lộn để cài đặt VPN trên bộ định tuyến hiện tại của bạn. ExpressVPN xếp thứ ba trong danh sách VPN của chúng tôi và là VPN tốt nhất cho người mới bắt đầu, do đó bạn có thể chắc chắn về khả năng bảo vệ hàng đầu.
