TunnelVision Schwachstelle enttarnt VPN User

In einer Veröffentlichung von Leviathan Security vom 6. Mai 2024 wurde eine neue Netzwerktechnik vorgestellt, die die VPN-Encapsulation umgeht. Diese Technik ermöglicht es einem Angreifer, den Datenverkehr eines Zielbenutzers aus seinem VPN-Tunnel zu zwingen, indem er eingebaute Funktionen des DHCP (Dynamic Host Configuration Protocol) nutzt. Das Ergebnis ist, dass der Benutzer Pakete sendet, die niemals durch ein VPN verschlüsselt werden, was es einem Angreifer ermöglicht, diesen Verkehr abzuhören. Dieser Effekt wird als “Enttarnen” bezeichnet. Besonders wichtig ist, dass der VPN-Kontrollkanal aufrechterhalten wird, sodass Funktionen wie Kill-Switches nie ausgelöst werden und Benutzer weiterhin als mit einem VPN verbunden angezeigt werden.

Es wird vermutet, dass diese Technik bereits seit 2002 möglich gewesen sein könnte und möglicherweise bereits entdeckt und in der Praxis eingesetzt wurde.

Die Lücke wird als CVE-2024-3661 und betrifft der Art und Weise, wie DHCP-Nachrichten, einschließlich der klassenlosen statischen Route (Option 121), verarbeitet werden. Dieses Protokoll authentifiziert Nachrichten nicht, was es einem Angreifer mit der Fähigkeit, DHCP-Nachrichten zu senden, ermöglicht, Routen zu manipulieren und so den VPN-Verkehr umzuleiten. Dies kann dazu führen, dass der Angreifer Netzwerkverkehr, der durch das VPN geschützt sein sollte, lesen, stören oder möglicherweise verändern kann. Viele VPN-Systeme, die auf IP-Routing basieren, sind anfällig für solche Angriffe. Die Cybersecurity and Infrastructure Security Agency (CISA) bewertet diese Schwachstelle mit einem CVSS-Basisscore von 7,6 und stuft sie als hoch ein. Der Vektor dafür lautet: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L, was darauf hindeutet, dass der Angriff über das Netzwerk möglich ist (AV:A), die Angriffskomplexität niedrig ist (AC:L), keine Berechtigungen erforderlich sind (PR:N), keine Benutzerinteraktion erforderlich ist (UI:N), und die Auswirkungen auf Vertraulichkeit hoch (C:H), Integrität niedrig (I:L) und Verfügbarkeit niedrig (A:L) sind.

Eine einfache Entfernung der Unterstützung für die DHCP-Funktion zur Behebung des Problems ist nicht machbar, da dies die Internetverbindung in einigen legitimen Fällen unterbrechen könnte. Die Empfehlung besteht darin, dass VPN-Anbieter Netzwerk-Namespaces auf Betriebssystemen implementieren sollten, die dies unterstützen, ähnlich der Methode, die in der Dokumentation von WireGuard beschrieben wird. Netzwerk-Namespaces sind eine Linux-Funktion, die Schnittstellen und Routingtabellen vom lokalen Netzwerkskontrolle abgrenzen kann, und auch andere Betriebssystemhersteller sollten erwägen, ob Namespaces machbar zu implementieren sind.

Related Posts

Drity-Stream Schwachstelle in Android legt SMB und FTP Credentials offen

Microsoft Threat Intelligence hat ein Schwachstellenmuster in mehreren populären Android-Anwendungen aufgedeckt, das es einer bösartigen App ermöglicht, Dateien im Heimverzeichnis der betroffenen App zu überschreiben. Diese Schwachstelle kann zu willkürlicher Codeausführung und Token-Diebstahl führen, je nach Implementierung der betroffenen Anwendung. Durch den Android internen Sharing Mechanismus könnten bösartige Apps Zugriff auf SMB und FTP Zugangsdaten bekommen, die auf dem Android Gerät gespeichert sind.

Read More

Sicherheitslücke in GitHub legt Umgebungsvariablen offen

Am 6. Mai 2024 berichtete Starlabs in einem Artikel auf GitHub.com über eine entdeckte Sicherheitslücke, die sowohl die Offenlegung aller Umgebungsvariablen eines Produktionscontainers auf GitHub.com als auch die Ausführung von Remote-Code auf GitHub Enterprise Servers (GHES) ermöglicht. Diese Entdeckung, die ursprünglich als geringfügig eingeschätzt wurde, stellte sich als eine der bedeutendsten Sicherheitslücken in der Geschichte von GitHub heraus.

Read More

Codeschmuggel Schwachstelle in Trend Micro Antivirus One entdeckt

Trend Micro hat am 06. Mai 2024 ein wichtiges Update für seine Antivirus-Software “Antivirus One” veröffentlicht, das eine kritische Sicherheitslücke adressiert. Die Schwachstelle CVE-2024-34456 betrifft frühere Versionen der Software auf MacOS und ermöglicht das Einschleusen einer benutzerdefinierten dynamischen Bibliothek (dylib). Dies erlaubt Angreifern, schädlichen Code innerhalb des Anwendungskontexts von Antivirus One auszuführen. Trend Micro empfiehlt Nutzern dringend, ihre Software auf die neueste Version 3.10.4 zu aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.

Read More