Neuer Angriff fängt VPN-Verkehr über DHCP-Manipulation ab
Sicherheitsexperten haben eine Umgehungstechnik für virtuelle private Netzwerke (VPN) mit dem Namen TunnelVision beschrieben, die es Bedrohungsakteuren ermöglicht, den Netzwerkverkehr des Opfers auszuspähen. Dazu müssen sie sich einfach nur im selben lokalen Netzwerk aufhalten.
Die „Enttarnungsmethode“ hat die CVE-Kennung CVE-2024-3661 (CVSS-Score: 7.6) erhalten. Sie betrifft alle Betriebssysteme, die einen DHCP-Client nutzen und die DHCP-Option 121-Routen unterstützen.
Im Kern bedeutet TunnelVision, dass Datenverkehr unverschlüsselt durch ein VPN geleitet wird. Dies geschieht durch einen vom Angreifer konfigurierten DHCP-Server, der die Option 121 für klassenlose statische Routen verwendet, um einen Pfad in der Routing-Tabelle des VPN-Nutzers festzulegen. Das Problem liegt darin, dass das DHCP-Protokoll diese Optionsnachrichten nicht authentifiziert und sie daher manipuliert werden können.
DHCP ist ein Client/Server-Protokoll, das einem Gerät automatisch seine IP-Adresse und andere Konfigurationsinformationen wie die Subnetzmaske und das Standard-Gateway bereitstellt, damit es das Netzwerk nutzen kann.
DHCP hilft auch bei der automatischen Konfiguration von IP-Adressen über einen Server, der einen Pool von IP-Adressen verwaltet und diese dynamisch an Geräte im Netzwerk vergibt. Adressen, die nicht mehr benötigt werden, werden automatisch an den Pool zurückgegeben und neu zugewiesen.
Die Schwachstelle ermöglicht es einem Angreifer, der in der Lage ist, DHCP-Nachrichten zu senden, Routen zu manipulieren, um den VPN-Verkehr umzuleiten und so den Netzwerkverkehr, der eigentlich durch das VPN geschützt werden sollte, mitzulesen, zu stören oder möglicherweise zu verändern.
„Diese Technik nutzt keine Schwachstellen in VPN-Technologien oder den zugrunde liegenden Protokollen aus und funktioniert daher unabhängig vom VPN-Anbieter oder der Implementierung“, erklären Sicherheitsexperten der Leviathan Security Group.
„Unsere Methode besteht darin, einen DHCP-Server im selben Netzwerk wie der Ziel-VPN-Benutzer zu betreiben und diesen DHCP-Server so zu konfigurieren, dass er als Gateway fungiert. Wenn der Datenverkehr unser Gateway erreicht, leiten wir ihn an ein legitimes Gateway weiter, während wir ihn ausspähen.“
Mit anderen Worten: TunnelVision lässt den VPN-Benutzer glauben, dass seine Verbindungen sicher und verschlüsselt sind, während der Datenverkehr in Wirklichkeit zum Server des Angreifers umgeleitet und potenziell überwacht wird.
Um den VPN-Verkehr erfolgreich zu enttarnen, muss der DHCP-Client des Zielhosts die DHCP-Option 121 unterstützen und einen DHCP-Lease von dem vom Angreifer kontrollierten Server akzeptieren.
Der Angriff ähnelt der TunnelCrack-Methode, die darauf abzielt, Datenverkehr außerhalb eines geschützten VPN-Tunnels zu entschlüsseln, wenn eine Verbindung zu einem nicht vertrauenswürdigen Wi-Fi-Netzwerk oder einem unseriösen ISP hergestellt wird, was zu Adversary-in-the-Middle-Angriffen (AitM) führt.
Das Problem betrifft alle wichtigen Betriebssysteme wie Windows, Linux, macOS und iOS, mit Ausnahme von Android, da dieses keine Unterstützung für die DHCP-Option 121 bietet. Es betrifft auch VPN-Tools, die sich ausschließlich auf Routing-Regeln verlassen, um den Datenverkehr des Hosts zu sichern.
Der schwedische VPN-Anbieter Mullvad hat bestätigt, dass die Desktop-Versionen seiner Software über Firewall-Regeln verfügen, die jeglichen Verkehr zu öffentlichen IPs außerhalb des VPN-Tunnels blockieren. Allerdings räumte das Unternehmen ein, dass die iOS-Version für die TunnelVision-Schwachstelle anfällig ist. Wegen der Komplexität der notwendigen Anpassungen arbeiten die Skandinavier bereits „seit einiger Zeit“ an einem Fix, konnten diesen aber noch nicht integrieren und ausliefern.
„Die TunnelVision-Schwachstelle (CVE-2024-3661) ermöglicht es Angreifern, die VPN-Kapselung zu umgehen und den Datenverkehr außerhalb des VPN-Tunnels umzuleiten“, so Analysten von Zscaler. „Dabei wird die DHCP-Option 121 genutzt, um den Datenverkehr unverschlüsselt durch ein VPN zu leiten und ihn schließlich über einen vom Angreifer geschaffenen Seitenkanal ins Internet zu schicken.“
Um TunnelVision zu entschärfen, wird Unternehmen empfohlen, DHCP-Snooping, ARP-Schutz und Port-Sicherheit auf ihren Switches einzurichten. Außerdem sollten sie unter Linux Netzwerk-Namespaces verwenden, um das Problem zu beheben.