Actualizaciones de Seguridad de Tailscale: Mejoras y Nuevas Funcionalidades

Actualizaciones de Seguridad de Tailscale: Mejoras y Nuevas Funcionalidades

La reciente actualización de Tailscale ha abordado una vulnerabilidad significativa que afecta a los nodos de salida, routers de subred y conectores de aplicaciones en determinadas configuraciones. Esta falla de seguridad, que existía en versiones anteriores a la 1.66.0, permitía conexiones no autorizadas desde redes locales a otros nodos dentro de la red privada virtual de Tailscale, conocida como tailnet.

La vulnerabilidad se presentaba en nodos de salida y routers de subred en sistemas operativos Linux, especialmente en aquellos donde las listas de control de acceso (ACL) estaban configuradas para permitir conexiones entrantes sin restricciones. Esto representaba un riesgo potencial, ya que un dispositivo malicioso en la misma red local podía conectarse a nodos de Tailscale a través de estos nodos de salida.

Detalles de la vulnerabilidad

Específicamente, la posibilidad de que direcciones IP externas enviaran paquetes a los nodos de Tailscale se incrementaba en configuraciones donde la ACL utilizaba la notación "src": "*", permitiendo conexiones de cualquier dirección IP. Esta situación se veía facilitada por el tipo de enrutamiento utilizado en LAN, lo que significaba que la amenaza estaba restringida a redes locales y no se podía explotar fácilmente a través de Internet.

La empresa ha sido clara al afirmar que no se ha registrado explotación activa de esta vulnerabilidad, lo que mitiga un poco la preocupación entre los usuarios.

Impacto y soluciones

Se vieron afectados los siguientes nodos utilizando Tailscale 1.65 o versiones anteriores:

  • Nodos de salida en Linux
  • Routers de subred en Linux
  • Conectores de aplicaciones en Linux
  • Nodos regulares en todas las plataformas conectados a los nodos anteriores

Las redes tailnet que emplearon ACLs personalizadas sin el uso de "src": "*" no se vieron afectadas. La actualización a la versión 1.66.0 resuelve este problema, con cambios a nivel del servidor que modifican la interpretación de la notación "src": "*", proporcionando así una solución eficaz para los nodos de salida.

Mitigaciones implementadas

Para abordar esta vulnerabilidad, Tailscale ha implementado varias medidas efectivas:

  • Redefinición de ACLs: Se ha limitado el uso de "src": "*" para incluir únicamente nodos de la tailnet y direcciones IP de rutas de subred aprobadas, en lugar de permitir todos los IPs.
  • Filtrado de paquetes con estado: Se introdujo un filtrado de paquetes en los nodos de Linux, lo que significa que solo se permiten paquetes de conexión existentes, bloqueando cualquier paquete entrante que no pertenezca a una conexión establecida.
  • Cuarentena de nodos compartidos: Se implementó un sistema que evita conexiones entrantes desde nodos compartidos en estado de cuarentena, independientemente de la dirección IP de origen.

La recomendación para los usuarios es actualizar todos los nodos a la versión 1.66.0 o superior, aunque las medidas implementadas también proporcionan un nivel de mitigación para los nodos existentes. Con estas medidas, Tailscale refuerza su compromiso con la seguridad y la protección de sus usuarios frente a vulnerabilidades que puedan comprometer la integridad de sus redes privadas virtuales.