Im vergangenen Mai haben Forschende eine Schwachstelle namens «TunnelVision» publiziert. Hierbei geht es darum, dass Daten am sicheren VPN-Tunnel vorbei und somit ohne zusätzlichen Schutz auf der Netzwerkebene transferiert werden. Schützenswerte Informationen lassen sich so ausspähen, manipulieren und beispielsweise für weitere Cyber-Attacken auf Infrastruktur und Services der Anwendungsschicht nutzen. Die gute Nachricht: Bei dagegen gehärteten Lösungen funktioniert diese Attacke nicht. Erfahren Sie im Blogbeitrag, inwiefern «TunnelVision» für die IPVPN-Lösungen der CyOne Security keine Bedrohung darstellt.
Virtual Private Networks (VPNs) sind Enabler des digitalen Zeitalters. Wer im Homeoffice arbeitet, verbindet sich via VPN-Tunnel mit dem Netzwerk seines Unternehmens und kann hierdurch deren IT-Infrastruktur nutzen. Auf diese Art und Weise lassen sich auch Niederlassungen an verschiedenen Standorten miteinander vernetzen. Die darüberliegenden Services können so gegenseitig verfügbar gemacht werden. So über die Tunnel ausgetauschte Informationen sind sicher – weder einseh- noch veränderbar.
Forschende des US-Cyber-Sicherheitsspezialisten Leviathan Security haben nun eine Schwachstelle publiziert, die sich bei einem grossen Teil von Netzwerk- und Endbenutzer-Lösungen mit VPN-Funktionalität ausnutzen lässt. «TunnelVision» (CVE-2024-3661) nennen sie die Angriffsmethode in ihrem Forschungsbericht. Damit ist es möglich, den Netzwerkverkehr an einem bestehenden VPN-Tunnel vorbei zu lenken, diesen zu lesen, zu stören oder gar zu verändern.
Besonders brisant: Die Sicherheitslücke existiert bereits seit über 20 Jahren. Einfallstor ist die Option 121 im Dynamic Host Configuration Protocol (DHCP). Damit können DHCP-Server den Geräten eine Routing-Information für Netzwerkschnittstellen vorgeben. Hierdurch können schützenswerte Daten auf Netzwerkebene an sicheren VPN-Tunneln vorbei umgeleitet werden, wodurch deren schützende Wirkung ungenutzt bleibt. Die Schwachstelle beruht also darauf, dass das Setzen von DHCP-Optionen von DHCP-Servern nicht authentifiziert werden muss. Um eine entsprechende Attacke durchzuführen, muss ein Angreifer im Wesentlichen einen von ihm kontrollierten DHCP-Server mit dem betroffenen Netzwerk verbinden. Er braucht also keine Kontrolle über einen regulär betriebenen DHCP-Server zu erlangen.
Betroffene und auch die IT-Verantwortlichen merken von einer solchen Attacke oft nichts, da es Angreifern häufig auch gelingt, Traffic wieder über die ordentlichen Verbindungen einzuspielen. Alles scheint ganz normal zu funktionieren. Dabei wurden die Daten gelesen, (selektiv) gelöscht oder gar manipuliert. Die Forschenden halten es denn auch für wahrscheinlich, dass einige Organisationen bereits unbemerkt auf diesem Weg ausspioniert wurden.
Geschützt gegen den neu entdeckten Angriffsvektor ist das Betriebssystem Android, da die Option 121 hier nicht implementiert ist. Alle anderen Betriebssysteme sind zum jetzigen Zeitpunkt potenziell gefährdet. Jedoch gibt es Massnahmen, um Netzwerk- und Endbenutzer-Geräte gegen Schwachstellen wie «TunnelVision» zu schützen. Expertinnen und Experten empfehlen hierfür beispielsweise Virtualisierung, spezielle Firewall-Konfigurationen und/oder Traffic-Überwachung.
Für die IPVPN-Lösungen der CyOne Security ist «TunnelVision» keine Bedrohung. Sie werden getreu dem Ansatz «Security by Design» und «Security by Default» konsequent und umfassend gehärtet. Der Daten- und Gerätesicherheit wird während der gesamten Entwicklung höchste Priorität eingeräumt.
Reto Amstad
Senior Security Consultant