image

Nieuwe aanval kan verkeer en ip-adres van vpn-gebruikers lekken

dinsdag 7 mei 2024, 09:03 door Redactie, 13 reacties

Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd 'TunnelVision' waarmee het mogelijk is om het ip-adres en verkeer van vpn-gebruikers te lekken, zonder dat gebruikers hiervoor worden gewaarschuwd. Normaliter wordt bij een vpn een tunnel naar de vpn-server opgezet waardoor al het verkeer gaat. TunnelVision zorgt ervoor dat het verkeer niet via de tunnel gaat, waarna het door een aanvaller is af te luisteren. De aanval werkt niet tegen vpn-apps op Android, aldus onderzoekers van Leviathan Security. Die stellen dat de aanval al sinds 2002 mogelijk is en sluiten niet uit dat er misbruik van is gemaakt.

De aanval vereist dat de aanvaller op hetzelfde netwerk als het slachtoffer zit. Het slachtoffer moet een DHCP (Dynamic Host Configuration Protocol) lease van de server van de aanvaller accepteren. De DHCP-server kent ip-adressen aan gebruikers op het netwerk toe. Door middel van een instelling genaamd 'optie 121' kan de malafide DHCP-server de standaard routeringsregels van de gebruiker aanpassen. Daardoor gaat het verkeer aan de kant van de gebruiker, dat via de vpn--tunnel zou moeten worden verstuurd, niet via de vpn-tunnel.

Vpn-apps zullen dit echter niet detecteren en gebruikers geen waarschuwing geven. De tweede vereiste van de TunnelVision-aanval is dat de DHCP-client van het slachtoffer optie 121 heeft geïmplementeerd. In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt. Naast het negeren van optie 121 kan op Linux het gebruik van network namespaces de aanval voorkomen. De kwetsbaarheid waarvan TunnelVision gebruikmaakt wordt aangeduid als CVE-2024-3661.

Reacties (13)
07-05-2024, 10:06 door Anoniem
Op het moment dat je een DHCP server op een netwerk kunt draaien kun je wel meer nare dingen uithalen.
07-05-2024, 10:45 door Anoniem
Kan DHCP snooping kan je zo'n aanval tegenhouden
07-05-2024, 10:54 door _R0N_
Wat een onzin, als je controle hebt over de DHCP server kun je ook een andere gateway opgeven of andere DNS servers of nog vele andere opties.
07-05-2024, 11:52 door Anoniem
Het is goed dat het aan het licht is gekomen, nu kunnen we er wat aan doen er wordt het niet massaal misbruikt door black hats en overheden.
Soms staat zerodays voor honderduizenden op het darkweb aangeboden, en er worden ook daadwerkelijk zulke bedragen voor betaald, vraag me af wie er zoveel geld heeft, en waar dat geld vamdaan komt.
07-05-2024, 12:06 door Anoniem
Ik weet niet welke betaalde vpn diensten hun aps al op orde hebben om de aanval af te slaan. Hopelijk heeft Shurfshark welke ik gebruik het al doorzien dat er een aanval mogelijk was.
07-05-2024, 12:10 door Anoniem
Door Anoniem: Het is goed dat het aan het licht is gekomen, nu kunnen we er wat aan doen er wordt het niet massaal misbruikt door black hats en overheden.
Onzin. Wat _R0N_ zegt. Als je als aanvaller aan alle randvoorwaarden voldoet om deze aanval uit te voeren, dan heb je al zoveel toegang tot een netwerk dat je zoveel meer kan doen. Er zijn zwaardere aanvallen met minder randvoorwaarden dan dit. Dit zal niet of nauwelijks gebruikt worden.
07-05-2024, 12:26 door Anoniem
Door Anoniem: Op het moment dat je een DHCP server op een netwerk kunt draaien kun je wel meer nare dingen uithalen.

Het is inderdaad ook bijna volledig op te vangen door maar één security vinkje aanzetten op (de meeste) modern netwerkapparatuur, het heet "DHCP snooping"... Uiteraard kun je dat alsnog omzeilen, maar script kiddies blijven script kiddies.
07-05-2024, 12:54 door Anoniem
Fijn om de eerste 3 reacties te zien, ook dat was mijn eerste gedachte toen de 4LA DHCP was genoemd......
Waar gaat dit over? Alsof iemand een wiel heeft uitgevonden. Met controle over DHCP kun je veel maar dan ook echt veel meer nare dingen uitvreten. En ja, dit is 1 voorbeeld ervan.
07-05-2024, 15:27 door Briolet
In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt.

Wat een ontdekking hebben deze onderzoekers gedaan.

Dat hadden ze ze ook kunnen weten als ze in de settings van Android gekeken hadden. In elk geval bij de huidige Android 14 versie is het de default instelling om de DNS server van het netwerk te negeren en die van Android zelf te gebruiken. (Google wil nml meekijken naar je DNS verzoeken).
08-05-2024, 10:42 door Anoniem
Doet me denken aan een pentest die bij ons is uitgevoerd. De testers konden remote niets vinden dus vroegen root access tot het systeem en of ze vanuit hetzelfde subnet konden testen. Vervolgens was het resultaat dat het product niet veilig was omdat je als hacker alles kon slopen...
Alsof het product voor niets achter FW's en andere security maatregelen was geplaatst...
08-05-2024, 12:45 door Anoniem
Door Anoniem:
Door Anoniem: Op het moment dat je een DHCP server op een netwerk kunt draaien kun je wel meer nare dingen uithalen.

Het is inderdaad ook bijna volledig op te vangen door maar één security vinkje aanzetten op (de meeste) modern netwerkapparatuur, het heet "DHCP snooping"... Uiteraard kun je dat alsnog omzeilen, maar script kiddies blijven script kiddies.

Je weet blijkbaar niet zo goed wat DHCP Snooping doet , of je snapt deze aanval niet .
Vertel maar wat DCHP snooping doet tegen het aanwezig zijn van een Opt 121 meegeven door de dhcp server.?

Oh, of dacht je dat de aanval alleen ging over iemand die een _extra_ dhcp server op het netwerk draait en waarbij de "echte" server wel betrouwbaar is ?
08-05-2024, 12:53 door Anoniem
Door Anoniem: Doet me denken aan een pentest die bij ons is uitgevoerd. De testers konden remote niets vinden dus vroegen root access tot het systeem en of ze vanuit hetzelfde subnet konden testen. Vervolgens was het resultaat dat het product niet veilig was omdat je als hacker alles kon slopen...
Alsof het product voor niets achter FW's en andere security maatregelen was geplaatst...

Inderdaad, zo ben ik ook eens genaaid door pentesters .

Wilden ze de debug versie/plain text , uitgebreid verteld dat dat in productie NIET beschikbaar is, krijg je allemaal "bevindingen" en tips dat TLS aan zou moeten enzo.

Zwaar irritant, want het staat natuurlijk wel in een rapport van BigName, en dan klinkt alle kritiek die je erop hebt al heel snel als iemand die z'n straatje wil schoonvegen wat ie niet op orde had.
08-05-2024, 12:55 door Anoniem
Door Briolet:
In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt.

Wat een ontdekking hebben deze onderzoekers gedaan.

Dat hadden ze ze ook kunnen weten als ze in de settings van Android gekeken hadden. In elk geval bij de huidige Android 14 versie is het de default instelling om de DNS server van het netwerk te negeren en die van Android zelf te gebruiken. (Google wil nml meekijken naar je DNS verzoeken).

Google wil vooral dat het overal werkt, want als meegegeven DNS server brak is (best vaak bij de cachende ISP modems) krijgt per definitie die "klote Android telefoon" de schuld.
De supernerds die dat probleem _wel_ goed diagnosticeren stellen ook maar zelf de DNS server anders in.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.