tunnelvision

VPN er nu usikkert og har været det i 22 år med TunnelVision

Forskere har udviklet et angreb mod næsten alle VPN (virtuelle private netværksapplikationer), der tvinger dem til at sende og modtage noget eller al trafik uden for den krypterede tunnel, der er designet til at beskytte den mod at blive snuset på eller manipuleret. Mange Server Hosting Centre har VPN mellem sine datacentre og er derfor særligt bekymret.

TunnelVision, som forskerne har kaldt deres angreb, opvejer i høj grad hele formålet og salgsargumentet med VPN’er, hvilket er at indkapsle indgående og udgående internettrafik i en krypteret tunnel og at skjule brugerens IP-adresse. Det skriver Ars Technica i en artikel.

Forskerne mener, at det påvirker alle VPN-applikationer, når de er forbundet til et fjendtligt netværk, og at der ikke er nogen måder at forhindre sådanne angreb på, undtagen når brugerens VPN kører på Linux eller Android.

De sagde også, at deres angrebsteknik kunne have været mulig siden 2002 og muligvis allerede er opdaget og brugt i det skjulte siden da. Hidtil har man troede de mange VPN forbindelser var krypterede men med simple tricks er de det ikke mere.

Især statstøttede hackere fra Rusland, Kina og NordKorea, menes at have kendt til teknikken siden 2002.

TunnelVision Læsning, tab eller ændring af VPN-trafik

Effekten af TunnelVision er, at “offerets trafik nu er afsløret og bliver ledt gennem angriberen direkte,” forklarede en videodemonstration. “Angriberen kan læse, tabe eller modificere den lækkede trafik, og offeret opretholder deres forbindelse til både VPN’en og internettet.”

Se videoen her:

TunnelVision – CVE-2024-3661 – Afsløring af fulde og delte tunnel VPN’er – Leviathan Security Group. Angrebet fungerer ved at manipulere DHCP-serveren, der tildeler IP-adresser til enheder, der forsøger at forbinde til det lokale netværk.

En indstilling kendt som option 121 tillader DHCP-serveren at tilsidesætte standard ruteringsregler, der sender VPN-trafik gennem en lokal IP-adresse, der initierer den krypterede tunnel. Ved at bruge option 121 til at rute VPN-trafikken gennem DHCP-serveren afledes dataene til DHCP-serveren selv.

“Vores teknik er at køre en DHCP-server på samme netværk som en målrettet VPN-bruger og også indstille vores DHCP-konfiguration til at bruge sig selv som en gateway. Når trafikken rammer vores gateway, bruger vi trafik videresendelsesregler på DHCP-serveren til at sende trafikken videre til en legitim gateway, mens vi snuser på den.”

Det siger forskere fra Leviathan Security

Vi bruger DHCP option 121 til at indstille en rute i VPN-brugerens routingtabel. Den rute, vi indstiller, er vilkårlig, og vi kan også indstille flere ruter efter behov. Ved at skubbe ruter, der er mere specifikke end et /0 CIDR-område, som de fleste VPN’er bruger, kan vi lave ruteringsregler, der har højere prioritet end ruterne for det virtuelle interface, som VPN’en skaber. Vi kan indstille flere /1 ruter for at genskabe regelsættet 0.0.0.0/0 for al trafik, som de fleste VPN’er bruger.

At skubbe en rute betyder også, at netværkstrafikken vil blive sendt over samme interface som DHCP-serveren i stedet for det virtuelle netværksinterface. Dette er en tilsigtet funktionalitet, der ikke klart er angivet i RFC. Derfor er de ruter, vi skubber, aldrig krypteret af VPN’ens virtuelle interface, men sendes i stedet af netværksinterfacet, der taler til DHCP-serveren. Som angriber kan vi vælge, hvilke IP-adresser der går over tunnelen, og hvilke adresser der går over netværksinterfacet, der taler til vores DHCP-server.”

En ondsindet DHCP option 121-rute, der forårsager, at trafik aldrig krypteres af VPN-processen.

Illustration er (C) Copyright by Leviathan Security

Vi har nu trafik, der transmitteres uden for VPN’ens krypterede tunnel. Denne teknik kan også anvendes mod en allerede etableret VPN-forbindelse, når VPN-brugerens vært skal forny en lease fra vores DHCP-server. Vi kan kunstigt skabe det scenarie ved at indstille en kort lease tid i DHCP-leasen, så brugeren opdaterer deres routingtabel oftere. Desuden er VPN-kontrolkanalen stadig intakt, fordi den allerede bruger det fysiske interface til sin kommunikation. I vores test fortsatte VPN altid med at rapportere som tilsluttet, og kill-switchen blev aldrig aktiveret for at afbryde vores VPN-forbindelse.

Angrebet kan mest effektivt udføres af en person, der har administrativ kontrol over netværket, som målet er forbundet til. I det scenarie konfigurerer angriberen DHCP-serveren til at bruge option 121. Det er også muligt for personer, der kan forbinde til netværket som en uprivilegeret bruger, at udføre angrebet ved at opsætte deres egen rogue DHCP-server.

Angrebet tillader, at noget eller al trafik bliver ledt gennem den ukrypterede tunnel. I begge tilfælde vil VPN-applikationen rapportere, at alle data bliver sendt gennem den beskyttede forbindelse. Enhver trafik, der afledes væk fra denne tunnel, vil ikke blive krypteret af VPN’en, og internet-IP-adressen synlig for den fjernbetjente bruger vil tilhøre netværket, VPN-brugeren er tilsluttet, i stedet for en udpeget af VPN-appen.

Interessant nok er Android det eneste operativsystem, der fuldt ud immuniserer VPN-apps mod angrebet, fordi det ikke implementerer option 121. For alle andre operativsystemer er der ingen komplette løsninger.

Når apps kører på Linux, er der en indstilling, der minimerer effekterne, men selv da kan TunnelVision bruges til at udnytte en sidekanal, der kan bruges til at deanonymisere destinations-trafik og udføre målrettede denial-of-service-angreb.

Netværks-firewalls kan også konfigureres til at nægte indgående og udgående trafik til og fra det fysiske interface. Denne løsning er problematisk af to grunde: (1) en VPN-bruger, der forbinder til et upålideligt netværk, har ingen mulighed for at kontrollere firewallen, og (2) den åbner samme sidekanal, der er til stede med Linux-afhjælpningen.

De mest effektive løsninger er at køre VPN’en inde i en virtuel maskine, hvis netværksadapter ikke er i brotilstand, eller at forbinde VPN’en til internettet gennem Wi-Fi-netværket på en mobil enhed. Forskningen fra Leviathan Security-forskerne Lizzie Moratti og Dani Cronce er tilgængelig her.

Kommentarer:

Eftersom VPN bruges i en del embedded Linux enheder, skal man checke sine EDGE COMPTING installationer der ofte bruger tilpassede VPN løsninger både i interaktion med brugere og i interaktionen med andre online services. Når man så er i gang bør man checke hvem der har SSH adgang m.v. Mange embedded enheder glemmes ofte, især til kameraer, men der kan de benyttes som DDOS BOT netværk eller både lytte og se på de andre tilsluttede kameraer, hvis der opnås adgang til selve overvågningssoftwaren.

Er man så nødt til at checke alle Linux og videoinstallationer, ja desværre.

Kilde: ICARE.DK
Fotokredit: ICARE, stock.adobe.com
Personer/Firmaer: Leviathan Security, Ars Technica
Ⓒ 2024 Copyright by https://ICARE.DK – kan deles ved aktivt link til denne artikel.

Cybersikkerhed & Nyheder

NIS2 implementering i Danmark

ByMichael Rasmussen

NIS2-direktivet, der blev vedtaget sidste år kan ende med at koster det danske samfund mere end 50 milliarder kroner. Det er en ny virkelighed, der med bøder vil ramme utroligt mange virksomheder i Danmark. NIS2 er vedtaget sidste sommer, og medlemsstaterne har nu indtil 16. oktober 2024 til at implementere direktivet. Lovgivningen kom som følge…
| | | | | |

Nyt botnet gør Microsoft Defender uanvendelig

ByMichael Rasmussen

Det burde ikke være muligt… men det er entydigt at Windows Defender ikke virker efter hensigten. Kraken botnettet kan nemlig nemt omgås Microsoft Defender og stjæle din kryptopenge, passwords og kreditkortinformationer m.v. Endvidere er det nemt at benytte en hjemmearbejdsplads til at få adgang til virksomheders netværk. De fleste har nok troet at Windows Defender…
| |

1,6 millioner angreb på WordPress websteder er i gang. 1 template er ikke opdateret og udnyttes netop nu.

ByMichael Rasmussen

Wordfence analytikere rapporterer at have opdaget en massiv bølge af angreb i de sidste par dage, der stammer fra 16.000 IP adresser. Angrebet er et såkaldt scan and attack angreb der berører port scanninger og URL scanninger for at finde ældre plugins og sikkerhedshuller. Hvis din WordPress er sat til automatisk opdatering eller du har…
| | | | | | | |

Conti krypterer 4,000 computere og 120 VMware ESXi servere.

ByMichael Rasmussen

Conti Ransomware banden kræver millioner af dollars som en løsesum. Før dette har Ransomware banden krypteret enheder på virksomhedernes netværk. De har haft dagevis, hvis ikke uger, til at udføre ovevågning på netværket. Fordi det er sket i juletiden har de også haft mange dage til at stjæle virksomhedens data og dokumenter og kryptere computere…

Er Centralisering af Vigtige Samfundsfunktioner en ansvarlig beslutning?

ByDatasikkerhed

Om Centralisering af Vigtige Samfundsfunktioner og Risici ved Enkelte Hosting Leverandører I den moderne verden, hvor effektivitet og omkostningsbesparelser driver mange beslutninger, vælger mange vigtige samfundsfunktioner som hospitaler, energiselskaber og transportnetværk at samle deres operationer hos en enkelt hosting leverandør. Denne tilgang kan medføre fordele som bedre koordinering og reducerede driftsomkostninger, men øger også sårbarheden…

Kloning af billeder og stemmer er de kriminelles nye indkomst. Hør hvordan.

ByMichael Rasmussen

Billede-, Video- og Vokalkloningssoftware er billigt og effektivt, og det har ikke noget med CHATGPT at gøre, for en gangs skyld, selvom DALL’E også kan fabrikere fotolignende billeder. I en artikelserie i amerikanske aviser fremgår det, at flere er blevet snydt for millioner af kroner ved forfalskede opkald fra datter, barnebarn m.v. og ofrene troede…