Pakar keamanan siber Belgia sing dikenal amarga nemokake kerentanan kaya serangan KRACK ing WPA lan WPA2 wis ngembangake cara anyar sing mbukak ancaman kanggo pangguna VPN. jenenge TunnelCrack, cara iki ngidini lalu lintas VPN sensitif uwal saka wates trowongan protèktif, nuduhke resiko abot. Kerentanan ing solusi VPN utamane mengaruhi iOS lan macOS VPN, kanthi Windows uga rentan. Apike, aplikasi Android VPN relatif luwih aman, nanging sekitar seprapat saka wong-wong mau isih rentan kanggo TunnelCrack.
TunnelCrack ngeksploitasi rong kerentanan utama: serangan LocalNet lan ServerIP. Kerentanan kasebut kedadeyan nalika pangguna VPN nyambung menyang jaringan Wi-Fi sing ora aman. Nanging, panyedhiya internet angkoro uga bisa ngeksploitasi serangan IP server. Kanthi manipulasi tabel rute target, serangan kasebut ngalihake lalu lintas korban saka terowongan VPN sing aman, ngidini panyerang nyegat lan nganalisa data sing katon.
Ing skenario serangan ServerIP, ora ana enkripsi kanggo lalu lintas VPN menyang alamat IP server VPN minangka link sing lemah. Kurang enkripsi iki sengaja, nyegah kabutuhan enkripsi ulang paket data. Eksploitasi iki, panyerang bisa ngapusi balesan DNS kanggo server VPN, ngapusi korban supaya nambah aturan rute sing nampilake alamat IP palsu. Iki reroutes lalu lintas korban ing njaba trowongan, bypassing sawijining pangayoman.
Kanggo nglawan serangan LocalNet, pangguna bisa mateni lalu lintas jaringan lokal. Nanging, ora kabeh klien VPN nawakake pilihan iki. Nalika strategi iki nambah keamanan, bisa uga nggawe aktivitas jaringan lokal sing sah, kayata nyetak utawa streaming, ora bisa diakses nalika VPN aktif. Ngilangi serangan ServerIP mbutuhake pendekatan sing beda: nuntun basis kabijakan, sing nimbang faktor ngluwihi alamat IP tujuan kanggo keputusan rute.
Upaya wis ditindakake kanggo ngatasi kerentanan kasebut kanthi proaktif. Panyedhiya VPN diwenehi tandha luwih dhisik, menehi wektu kanggo ngembangake lan ngeculake nganyari. Utamane yaiku Mozilla VPN, Surfshark, Malwarebytes, Windscribe, lan Cloudflare's WARP, kabeh wis ngeculake patch kanggo ngatasi kerentanan kasebut. Kanggo pangguna aplikasi VPN tanpa tambalan, disaranake mateni akses jaringan lokal lan, yen bisa, pilih situs web sing ditawakake liwat protokol HTTPS sing aman. Cisco wis nerbitake penasehat sing ngakoni kerentanan ing macem-macem produk VPN lan kerentanan kanggo eksploitasi kasebut.