In einer Veröffentlichung von Leviathan Security vom 6. Mai 2024 wurde eine neue Netzwerktechnik vorgestellt, die die VPN-Encapsulation umgeht. Diese Technik ermöglicht es einem Angreifer, den Datenverkehr eines Zielbenutzers aus seinem VPN-Tunnel zu zwingen, indem er eingebaute Funktionen des DHCP (Dynamic Host Configuration Protocol) nutzt. Das Ergebnis ist, dass der Benutzer Pakete sendet, die niemals durch ein VPN verschlüsselt werden, was es einem Angreifer ermöglicht, diesen Verkehr abzuhören. Dieser Effekt wird als „Enttarnen“ bezeichnet. Besonders wichtig ist, dass der VPN-Kontrollkanal aufrechterhalten wird, sodass Funktionen wie Kill-Switches nie ausgelöst werden und Benutzer weiterhin als mit einem VPN verbunden angezeigt werden.
Es wird vermutet, dass diese Technik bereits seit 2002 möglich gewesen sein könnte und möglicherweise bereits entdeckt und in der Praxis eingesetzt wurde.
Die Lücke wird als CVE-2024-3661 und betrifft der Art und Weise, wie DHCP-Nachrichten, einschließlich der klassenlosen statischen Route (Option 121), verarbeitet werden. Dieses Protokoll authentifiziert Nachrichten nicht, was es einem Angreifer mit der Fähigkeit, DHCP-Nachrichten zu senden, ermöglicht, Routen zu manipulieren und so den VPN-Verkehr umzuleiten. Dies kann dazu führen, dass der Angreifer Netzwerkverkehr, der durch das VPN geschützt sein sollte, lesen, stören oder möglicherweise verändern kann. Viele VPN-Systeme, die auf IP-Routing basieren, sind anfällig für solche Angriffe. Die Cybersecurity and Infrastructure Security Agency (CISA) bewertet diese Schwachstelle mit einem CVSS-Basisscore von 7,6 und stuft sie als hoch ein. Der Vektor dafür lautet: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L, was darauf hindeutet, dass der Angriff über das Netzwerk möglich ist (AV:A), die Angriffskomplexität niedrig ist (AC:L), keine Berechtigungen erforderlich sind (PR:N), keine Benutzerinteraktion erforderlich ist (UI:N), und die Auswirkungen auf Vertraulichkeit hoch (C:H), Integrität niedrig (I:L) und Verfügbarkeit niedrig (A:L) sind.
Eine einfache Entfernung der Unterstützung für die DHCP-Funktion zur Behebung des Problems ist nicht machbar, da dies die Internetverbindung in einigen legitimen Fällen unterbrechen könnte. Die Empfehlung besteht darin, dass VPN-Anbieter Netzwerk-Namespaces auf Betriebssystemen implementieren sollten, die dies unterstützen, ähnlich der Methode, die in der Dokumentation von WireGuard beschrieben wird. Netzwerk-Namespaces sind eine Linux-Funktion, die Schnittstellen und Routingtabellen vom lokalen Netzwerkskontrolle abgrenzen kann, und auch andere Betriebssystemhersteller sollten erwägen, ob Namespaces machbar zu implementieren sind.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: