Af Eskil Sørensen, 30/05/24
Researchere ved sikkerhedsfirmaet Leviathan Security har udtænkt en angrebsmetode mod næsten alle virtuelle private netværksapplikationer, der tvinger dem til at sende og modtage en del af eller al trafik uden for den krypterede tunnel.
Det skriver Ars Technica om det nye, som måske ikke er så nyt endda.
Selve angrebet, som kaldes TunnelVision, udmanøvrerer angiveligt det, der er formålet med VPN’er. Nemlig at indkapsle indgående og udgående internettrafik i en krypteret tunnel, hvor brugerens IP-adresse tilsløres. Angrebsmetoden gør, at en angriber kan læse, droppe eller ændre den lækkede trafik, samtidig med at ofrene bevarer deres forbindelse til både VPN og internettet.
Researcherne er af den opfattelse, at metoden påvirker alle VPN-applikationer, når de er forbundet til et fjendtligt netværk, og at der ikke er nogen måder at forhindre sådanne angreb på, med mindre brugerens VPN kører på Linux eller Android. Researcherne har også udtalt, at angrebsteknikken muligvis har været anvendelig siden 2002 og måske allerede er blevet opdaget og brugt in-the wild siden da.
Manipulation af trafik
Angrebet virker ved at DHCP-serveren, der tildeler IP-adresser til enheder, der forsøger at oprette forbindelse til det lokale netværk, manipuleres. En særlig indstilling, som er kendt som "mulighed 121", gør det muligt for DHCP-serveren at tilsidesætte de standard routingregler, der sender VPN-trafik gennem en lokal IP-adresse, der ellers er designet til at starte den krypterede tunnel.
Ved at bruge indstillingen til at dirigere VPN-trafik gennem DHCP-serveren, omdirigeres dataene til selve DHCP-serveren i forbindelse med angrebet.
Researcherne udtaler, at teknikken er at køre en DHCP-server på samme netværk som en målrettet VPN-bruger og også indstille DHCP-konfigurationen til at bruge sig selv som en gateway. Når trafikken rammer gatewayen, bruges regler for videresendelse af trafik på DHCP-serveren til at sende trafik igennem til en legitim gateway.
DHCP-mulighed 121 bruges så til at indstille en rute på VPN-brugerens routingtabel. Den rute, der angives, er vilkårlig, men der kan også indstilles flere ruter og routingregler, der har en højere prioritet end ruterne til den virtuelle grænseflade, som VPN'en opretter. Det betyder, at netværkstrafikken sendes over den samme grænseflade som DHCP-serveren i stedet for den virtuelle netværksgrænseflade. Angriberen kan derfor vælge, hvilke IP-adresser der går over tunnelen, og hvilke adresser der går over netværksgrænsefladen og kommunikerer med angriberens DHCP-server. Dermed er der trafik, der transmitteres uden for VPN’ens krypterede tunnel.
Android immun
Ars Technica skriver, at Android er det eneste operativsystem, der er modstandsdygtig over for angrebet, fordi det ikke implementerer mulighed 121. For alle andre operativsystemer er der ingen komplette rettelser. Når apps kører på Linux, er der en indstilling, der minimerer effekterne, men selv da kan TunnelVision udnytte en sidekanal.
De mest effektive imødegåelse af angrebet skal være at køre VPN'et inde i en virtuel maskine, hvis netværksadapter ikke er i brokoblet tilstand, eller at forbinde VPN'et til internettet via Wi-Fi-netværket på en mobilenhed.
Links:
https://arstechnica.com/security/2024/05/novel-attack-against-virtually-...