EL problema de la VPN de TryHackMe

30 de octubre de 2021 - TryHackMe

EL PROBLEMA

A raíz del reciente descubrimiento del creador de contenido sobre pentesting y red team en Twitch y Youtube S4vitar, como demostró en el siguiente vídeo:

Se destapó con hechos que los usuarios conectados a la VPN de TryHackMe que estuvieran en la misma región, es decir, que tuvieran este parámetro en la sección ‘Acceso’ igual:

Región VPN TryHackMe

Tendrían conectividad entre sí. Este hecho hizo alarmar a la comunidad de Hacking Ético, ya que mucha gente lo desconocía y se acababan de dar cuenta de que nunca estuvieron seguros.

A continuación se muestra un ejemplo en el que se visualiza el problema:

TryHackMe VPN connections

A diferencia de su principal competidor, en HackTheBox esto no ocurre, la segmentación hace que todos los usuarios no tengan conectividad entre sí, menos para las actividades que lo requieran y se encuentra todo bien organizado.

LA "SOLUCIÓN"

/ / / Precaucion / / /

La utilización de este script asume que la red en la que se encuentra ya está securizada debido a que sólo securiza el tráfico de la VPN, en caso de estar en algún sitio público en el cual no se tenga control, por favor, modifíquelo según las circunstancias.

/ / / Precaucion / / /

A partir de todo este problema, cree un script con reglas de iptables ya que parece que TryHackMe se excusa y no pretende arreglar el problema.

El repositorio de Github os lo dejo por aquí:

https://github.com/Wh1teDrvg0n/safeVPN-THM

A continuación, explicaré las reglas, como se ejecuta el script, qué hacer para volver a tenerlo todo como antes y demás casos de los que puedan haber dudas.

Las iremos desgranando por bloques para explicarlas a grandes rasgos.

En caso de querer guardar las que ya tenéis como backup para restablecerlas una vez acabadas las prácticas en la plataforma, podéis ejecutar lo siguiente:

Y para volver a dejar todo como estaba al principio, simplemente ejecutar:

Una vez hecho esto, volverías a tenerlo todo como si no lo hubieras usado.

Para empezar, el bloque llamado ‘IPv4 flush‘ lo que hace es limpiar las tablas ‘filter‘, ‘mangle‘ y ‘nat‘, de forma que borra todas las reglas y pone los contadores a cero, además, especifica que la política por defecto sea el de aceptarlo todo para que podáis navegar y demás sin tener que estar tocando el firewall.

El siguiente bloque es ‘IPv6 flush‘, el cual hace lo mismo que el anterior, excepto que tiene la política por defecto en DROP, esto hace que todas las conexiones que vengan por IPv6 no sean aceptadas y que tampoco salgan conexiones IPv6 desde nuestro equipo.

Seguimos con ‘Ping machine‘, este bloque habilita los paquetes ICMP que entran o que van hacia la máquina por la VPN y bloquea todos los que no vengan o vayan hacia esa IP.

Por lo que tú tampoco tendrías conectividad ICMP con otros usuarios.

Por último, tenemos el bloque ‘Allow VPN connection only from machine‘, que como su propio nombre indica, ejerce lo mismo que el bloque ICMP pero con las conexiones TCP y UDP.

Por lo que sólo tendrás conectividad con la máquina con la que quieras practicar. En el caso en el que te estés planteando qué pasaría si dos personas despliegan la misma máquina, se supone que TryHackMe ofrece una IP objetivo diferente cada vez que alguien despliega una máquina víctima, por lo que si no compartimos esa IP, no habría ningún problema.

Se recomienda desplegar la máquina primero y una vez tengamos la IP, ejecutar el script de la siguiente forma:

Una vez el script es ejecutado, comprobamos que las reglas se han aplicado:

Y entonces ya podremos ejecutar el archivo de la VPN con tranquilidad.

De forma que el esquema final de la conectividad de la VPN quedaría así después del despliegue de la máquina.

TryHackMe VPN restrictions

El otro principal problema es la ‘attackbox‘, es el nombre de las máquinas que se usan en TryHackMe para practicar contra objetivos de la plataforma como si fuera tu máquina virtual.

Esta máquina tiene conectividad con todas las regiones, subredes y redes Premium, se puede ver el enlace con usuario y contraseña de VNC, de forma que si alguien la obtuviera, podría ingresar a la red de TryHackMe sin siquiera estar conectado. simplemente con conexión directa vía web.

Añadido a esto, se podrían lanzar ataques a otras webs u otros usuarios y ser perjudicado, lo cual presenta un mayor riesgo.

Las máquinas premium, si alguien las despliega y te facilita la IP, no está hecho el filtrado por suscripción y podrías usarla, etc.

En resumen, puedes seguir practicando en TryHackMe, pero securiza tu entorno primero.

El primer paso es mi script, el segundo tu concienciación y el tercero ponerse manos a la obra.

Tagged as:  /  /  /  /  /  /  / 

Previous

THE PROBLEM Following the recent discovery of pentesting and red team content creator on Twitch and Youtube S4vitar, as he demonstrated in the following video: https://youtu.be/RRHBGwwNi98 It was uncovered with facts that users connected to the TryHackMe VPN who were in the same region, i.e. had this parameter in the [...]

Comments

  2. Responder

    cucu_xii
    9 de marzo de 2022 at 10:03

    Muchas gracias por este script, esta todo muy bien explicado y consigue salvaguardar la faena de tryhackeme (espero que les de por arreglarlo, que es lo que deberian). se agradece tambien que expliques como dejarlo todo como esta. un gran trabajo

Leave a Reply

Your email address will not be published. Required fields are marked *

Play Cover Track Title
Track Authors