Virtual Private Networks (VPNs) sollen den Nutzern eine sichere, verschlüsselte Verbindung bieten und ihre IP-Adresse verbergen. Die von Forschern von Leviathan Security entdeckte Schwachstelle mit dem Namen „Tunnelvision“ nutzt jedoch eine seit 2002 bestehende Sicherheitslücke, um die Verschlüsselung des VPN-Verkehrs zu umgehen und die echte IP-Adresse des Nutzers aufzudecken.
Die Angriffsstrategie: Ausnutzen der Option 121
Um „Tunnelvision“ durchzuführen, muss ein Angreifer einen DHCP-Server im gleichen Netzwerk wie das Opfer betreiben. Der Server vergibt normalerweise IP-Adressen, um Geräte mit dem Netzwerk zu verbinden. Bei einem VPN werden die Daten zunächst über eine lokale IP-Adresse geleitet, um den VPN-Tunnel zu initiieren. Durch Ausnutzung der Einstellung „Option 121“ kann der DHCP-Server jedoch die Routing-Regeln umgehen und den Datenverkehr stattdessen über sich selbst als Gateway leiten.
Der durch diese Umleitung weitergeleitete Verkehr bleibt unverschlüsselt und offenbart die wahre IP-Adresse des Benutzers. VPN-Anwendungen erkennen die Umleitung nicht, da die Verbindung physikalisch immer noch über denselben Port erfolgt.
Wer ist betroffen?
Für Netzwerkadministratoren ist der Angriff besonders einfach, da sie die volle Kontrolle über das Netzwerk haben. Aber auch normale Benutzer können bösartige DHCP-Server im Netzwerk betreiben und den Angriff ausführen.
Die Schwachstelle betrifft fast alle bekannten Betriebssysteme, mit einer bemerkenswerten Ausnahme: Android. Hier wurde die „Option 121“ nie implementiert, weshalb das System nicht anfällig für diesen Angriff ist.
Schutzmaßnahmen
Die Forscher empfehlen zwei Schutzmaßnahmen. Erstens sollte VPN in einer virtuellen Maschine verwendet werden, deren Netzwerkadapter nicht im Bridge-Modus läuft. Zweitens kann eine Verbindung über das WLAN eines Geräts mit mobilem Internetzugang hergestellt werden. In beiden Fällen sollte „Tunnelvision“ nicht funktionieren.
Fragen und Antworten zu „Tunnelvision“
Frage 1: Was ist die „Tunnelvision“-Schwachstelle?
Antwort 1: „Tunnelvision“ ist ein Angriff, der die Einstellung „Option 121“ auf DHCP-Servern ausnutzt, um VPN-Verkehr unverschlüsselt zu leiten und die echte IP-Adresse preiszugeben.
Frage 2: Welche Betriebssysteme sind davon betroffen?
Antwort 2: Fast alle bekannten Betriebssysteme sind betroffen, mit Ausnahme von Android, wo die „Option 121“ nie implementiert wurde.
Frage 3: Wie kann man sich schützen?
Antwort 3: Verwenden Sie VPN in einer virtuellen Maschine oder verbinden Sie sich über das mobile WLAN eines Gerätes, um den Angriff zu umgehen.
Frage 4: Warum erkennen VPN-Anwendungen die Umleitung nicht?
Antwort 4: Da die physikalische Verbindung unverändert bleibt, erkennen VPN-Anwendungen die Umleitung nicht als unsicher und melden weiterhin eine sichere Verbindung.
Frage 5: Seit wann existiert diese Schwachstelle?
Antwort 5: Die Schwachstelle existiert bereits seit 2002, was bedeutet, dass Angreifer die Schwachstelle bereits seit längerer Zeit ausnutzen können.
Fazit
Der „Tunnelvision“-Angriff zeigt, wie wichtig es ist, die Funktionsweise von Netzwerktechnologien zu verstehen und ihre Sicherheitsimplikationen zu bewerten. Die Schwachstelle existiert bereits seit 2002, und es ist nach Ansicht der Leviathan-Forscher durchaus möglich, dass das Problem seither entdeckt und von Angreifern ausgenutzt wurde. Benutzer sollten die empfohlenen Schutzmaßnahmen ernst nehmen, um sicherzustellen, dass ihre VPN-Verbindungen wirklich geschützt sind.
Um auf dem Laufenden zu bleiben, abonnieren Sie den Mimikama-Newsletter oder besuchen Sie unsere Online-Vorträge und Workshops.
Quelle: derStandard
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)