Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Unsichere Tunneling-Protokolle gefährden Millionen VPNs und Router

Aktuelle Forschungsergebnisse zeigen, dass weltweit rund 4,2 Millionen Hosts durch unsichere Tunneling-Protokolle gefährdet sind. Darunter befinden sich zahlreiche VPNs und Router, die Hackern eine Angriffsfläche für eine Vielzahl von Cyberattacken bieten – von Datendiebstahl bis hin zur Übernahme kompletter Netzwerke.

Lesezeit 2 Min.

„Internet-Hosts, die Tunneling-Pakete akzeptieren, ohne die Identität des Absenders zu überprüfen, können von Angreifern gekapert werden, um anonyme Angriffe auszuführen und Zugriff auf ihre Netzwerke zu erlangen“, warnt Top10VPN in einer Studie, die in Zusammenarbeit mit Mathy Vanhoef, Professor und Forscher von der katholischen Universität Leuven erstellt wurde.

Insgesamt wurden 4,2 Millionen Hosts als anfällig für solche Angriffe identifiziert. Darunter befinden sich VPN-Server, Router von Internetanbietern, zentrale Internet-Router, Gateways mobiler Netzwerke und Knotenpunkte von Content Delivery Networks (CDNs). Zu den am stärksten betroffenen Ländern gehören China, Frankreich, Japan, die Vereinigten Staaten und Brasilien.

Mögliche Gefährdungen

Erfolgreiche Angriffe könnten es Bedrohungsakteuren ermöglichen, anfällige Systeme als Einweg-Proxys zu missbrauchen oder Denial-of-Service-Angriffe (DoS) durchzuführen.

„Ein Angreifer könnte diese Sicherheitslücken ausnutzen, um Einweg-Proxys zu erstellen und IPv4- oder IPv6-Quelladressen zu fälschen“, so das CERT Coordination Center (CERT/CC) in einem Sicherheitshinweis. Zudem könnten betroffene Systeme einem Angreifer den Zugriff auf private Netzwerke einer Organisation ermöglichen oder für DDoS-Angriffe missbraucht werden.

Die Sicherheitsprobleme wurzeln in der unzureichenden Absicherung von Tunneling-Protokollen wie IP6IP6, GRE6, 4in6 und 6in4. Diese Protokolle dienen hauptsächlich dazu, Daten zwischen zwei getrennten Netzwerken zu übertragen. Ohne zusätzliche Sicherheitsmaßnahmen wie Internet Protocol Security (IPsec) fehlt jedoch sowohl die Authentifizierung als auch die Verschlüsselung des Datenverkehrs.

Die fehlenden Sicherheitsvorkehrungen eröffnen Angreifern die Möglichkeit, schädlichen Datenverkehr in die Tunnel einzuschleusen. Diese Schwachstelle ähnelt einem Problem, das bereits im Jahr 2020 unter der Kennung CVE-2020-10136 gemeldet wurde.

Die neu entdeckten Schwachstellen bei den betroffenen Tunneling-Protokollen wurden mit den folgenden CVE-Identifikatoren versehen:

  • CVE-2024-7595: Betrifft GRE (Generic Routing Encapsulation) und GRE6
  • CVE-2024-7596: Betrifft Generic UDP Encapsulation
  • CVE-2025-23018: Betrifft IPv4-in-IPv6 und IPv6-in-IPv6
  • CVE-2025-23019: Betrifft IPv6-in-IPv4

„Ein Angreifer muss lediglich ein Paket senden, das mit einem der betroffenen Protokolle verkapselt ist und zwei IP-Header enthält“, erklärt Simon Migliano von Top10VPN.

Angriffsmechanismus und empfohlene Schutzmaßnahmen

Der Angriff läuft wie folgt: Der äußere IP-Header enthält die Quell-IP-Adresse des Angreifers und die IP-Adresse des anfälligen Hosts als Zieladresse. Der innere IP-Header hingegen gibt die IP-Adresse des anfälligen Hosts als Absender an, während die Zieladresse die des eigentlichen Angriffsziels ist.

Wenn der anfällige Host das manipulierte Datenpaket empfängt, entfernt er automatisch den äußeren IP-Header und leitet das innere Paket an die angegebene Zieladresse weiter. Da die Quell-IP-Adresse des inneren Pakets vom anfälligen, jedoch als vertrauenswürdig eingestuften Host stammt, kann das Paket Sicherheitsfilter im Netzwerk umgehen.

Um diese Art von Angriff zu verhindern, werden folgende Maßnahmen empfohlen:

  1. Verwendung von Sicherheitsprotokollen wie IPSec oder WireGuard, um Authentifizierung und Verschlüsselung sicherzustellen.
  2. Nur Tunneling-Pakete von vertrauenswürdigen Quellen akzeptieren.
  3. Netzwerkbasierte Schutzmaßnahmen:
    • Traffic-Filter auf Routern und Zwischenknoten implementieren.
    • Deep Packet Inspection (DPI) einsetzen, um schädlichen Datenverkehr zu erkennen.
    • Alle unverschlüsselten Tunneling-Pakete blockieren.

„Die Auswirkungen von Denial-of-Service-Angriffen (DoS) auf betroffene Opfer können Netzüberlastungen, Serviceausfälle durch Ressourcenerschöpfung und Abstürze überlasteter Netzwerkgeräte umfassen“, erklärt Simon Migliano. Zusätzlich zu diesen unmittelbaren Folgen öffnet ein solcher Angriff die Tür für weitere Angriffe wie Man-in-the-Middle-Attacken oder das Abfangen sensibler Daten.

Diesen Beitrag teilen: