
Penelitian baru telah mengungkap kerentanan keamanan dalam beberapa protokol terowongan yang memungkinkan penyerang melakukan berbagai macam serangan.
“Host internet yang menerima paket terowongan tanpa memverifikasi identitas pengirim dapat dibajak untuk melakukan serangan anonim dan memberikan akses ke jaringan mereka,” kata Top10VPN dalam sebuah penelitian, sebagai bagian dari kolaborasi dengan profesor dan peneliti KU Leuven, Mathy Vanhoef.
Sebanyak 4,2 juta host ditemukan rentan terhadap serangan ini, termasuk server VPN, router rumah ISP, router internet inti, gateway jaringan seluler, dan node jaringan pengiriman konten (CDN). Tiongkok, Prancis, Jepang, Amerika Serikat, dan Brasil menduduki peringkat teratas negara-negara yang paling terkena dampaknya.
Eksploitasi kelemahan yang berhasil dapat memungkinkan musuh untuk menyalahgunakan sistem yang rentan sebagai proksi satu arah, serta melakukan serangan penolakan layanan (DoS).

“Musuh dapat menyalahgunakan kerentanan keamanan ini untuk membuat proxy satu arah dan memalsukan alamat sumber IPv4/6,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah nasihat. “Sistem yang rentan juga dapat mengizinkan akses ke jaringan pribadi organisasi atau disalahgunakan untuk melakukan serangan DDoS.”
Kerentanan ini berakar pada fakta bahwa protokol penerowongan seperti IP6IP6, GRE6, 4in6, dan 6in4, yang terutama digunakan untuk memfasilitasi transfer data antara dua jaringan yang terputus, tidak mengautentikasi dan mengenkripsi lalu lintas tanpa protokol keamanan yang memadai seperti Keamanan Protokol Internet ( IPSec).
Tidak adanya pagar pengaman tambahan membuka kemungkinan terjadinya skenario di mana penyerang dapat memasukkan lalu lintas berbahaya ke dalam terowongan, sebuah variasi dari kelemahan yang sebelumnya ditandai pada tahun 2020 (CVE-2020-10136).
Mereka telah diberi pengidentifikasi CVE berikut untuk protokol yang dimaksud –
- CVE-2024-7595 (GRE dan GRE6)
- CVE-2024-7596 (Enkapsulasi UDP Generik)
- CVE-2025-23018 (IPv4-dalam-IPv6 dan IPv6-in-IPv6)
- CVE-2025-23019 (IPv6-dalam-IPv4)
“Seorang penyerang hanya perlu mengirim paket yang dienkapsulasi menggunakan salah satu protokol yang terpengaruh dengan dua header IP,” jelas Simon Migliano dari Top10VPN.

“Header luar berisi IP sumber penyerang dengan IP host yang rentan sebagai tujuan. IP sumber header dalam adalah IP host yang rentan, bukan penyerang. IP tujuan adalah target serangan anonim.”
Jadi ketika host yang rentan menerima paket jahat, secara otomatis menghapus header alamat IP luar dan meneruskan paket dalam ke tujuannya. Mengingat alamat IP sumber pada paket dalam adalah host yang rentan namun tepercaya, maka paket tersebut dapat melewati filter jaringan.
Sebagai pertahanan, disarankan untuk menggunakan IPSec atau WireGuard untuk menyediakan otentikasi dan enkripsi, dan hanya menerima paket penerowongan dari sumber tepercaya. Di tingkat jaringan, disarankan juga untuk menerapkan pemfilteran lalu lintas pada router dan middlebox, melakukan inspeksi paket mendalam (DPI), dan memblokir semua paket terowongan yang tidak terenkripsi.
“Dampak pada korban serangan DoS ini dapat mencakup kemacetan jaringan, gangguan layanan karena sumber daya terkuras oleh kelebihan lalu lintas, dan perangkat jaringan yang kelebihan beban mengalami crash,” kata Migliano. “Hal ini juga membuka peluang eksploitasi lebih lanjut, seperti serangan man-in-the-middle dan intersepsi data.”