Nieuwe aanval kan verkeer en ip-adres van vpn-gebruikers lekken

[Captain Kirk]

Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd 'TunnelVision' waarmee het mogelijk is om het ip-adres en verkeer van vpn-gebruikers te lekken, zonder dat gebruikers hiervoor worden gewaarschuwd. Normaliter wordt bij een vpn een tunnel naar de vpn-server opgezet waardoor al het verkeer gaat. TunnelVision zorgt ervoor dat het verkeer niet via de tunnel gaat, waarna het door een aanvaller is af te luisteren. De aanval werkt niet tegen vpn-apps op Android, aldus onderzoekers van Leviathan Security. Die stellen dat de aanval al sinds 2002 mogelijk is en sluiten niet uit dat er misbruik van is gemaakt.

De aanval vereist dat de aanvaller op hetzelfde netwerk als het slachtoffer zit. Het slachtoffer moet een DHCP (Dynamic Host Configuration Protocol) lease van de server van de aanvaller accepteren. De DHCP-server kent ip-adressen aan gebruikers op het netwerk toe. Door middel van een instelling genaamd 'optie 121' kan de malafide DHCP-server de standaard routeringsregels van de gebruiker aanpassen. Daardoor gaat het verkeer aan de kant van de gebruiker, dat via de vpn--tunnel zou moeten worden verstuurd, niet via de vpn-tunnel.

Vpn-apps zullen dit echter niet detecteren en gebruikers geen waarschuwing geven. De tweede vereiste van de TunnelVision-aanval is dat de DHCP-client van het slachtoffer optie 121 heeft geïmplementeerd. In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt. Naast het negeren van optie 121 kan op Linux het gebruik van network namespaces de aanval voorkomen. De kwetsbaarheid waarvan TunnelVision gebruikmaakt wordt aangeduid als CVE-2024-3661.

 

bron: https://www.security.nl