Nieuwe aanval kan verkeer en ip-adres van vpn-gebruikers lekken
Onderzoekers hebben een nieuwe aanval ontwikkeld genaamd 'TunnelVision' waarmee het mogelijk is om het ip-adres en verkeer van vpn-gebruikers te lekken, zonder dat gebruikers hiervoor worden gewaarschuwd. Normaliter wordt bij een vpn een tunnel naar de vpn-server opgezet waardoor al het verkeer gaat. TunnelVision zorgt ervoor dat het verkeer niet via de tunnel gaat, waarna het door een aanvaller is af te luisteren. De aanval werkt niet tegen vpn-apps op Android, aldus onderzoekers van Leviathan Security. Die stellen dat de aanval al sinds 2002 mogelijk is en sluiten niet uit dat er misbruik van is gemaakt.
De aanval vereist dat de aanvaller op hetzelfde netwerk als het slachtoffer zit. Het slachtoffer moet een DHCP (Dynamic Host Configuration Protocol) lease van de server van de aanvaller accepteren. De DHCP-server kent ip-adressen aan gebruikers op het netwerk toe. Door middel van een instelling genaamd 'optie 121' kan de malafide DHCP-server de standaard routeringsregels van de gebruiker aanpassen. Daardoor gaat het verkeer aan de kant van de gebruiker, dat via de vpn--tunnel zou moeten worden verstuurd, niet via de vpn-tunnel.
Vpn-apps zullen dit echter niet detecteren en gebruikers geen waarschuwing geven. De tweede vereiste van de TunnelVision-aanval is dat de DHCP-client van het slachtoffer optie 121 heeft geïmplementeerd. In het geval van Android blijkt het besturingssysteem optie 121 te negeren, waardoor de aanval daar niet werkt. Naast het negeren van optie 121 kan op Linux het gebruik van network namespaces de aanval voorkomen. De kwetsbaarheid waarvan TunnelVision gebruikmaakt wordt aangeduid als CVE-2024-3661.
Soms staat zerodays voor honderduizenden op het darkweb aangeboden, en er worden ook daadwerkelijk zulke bedragen voor betaald, vraag me af wie er zoveel geld heeft, en waar dat geld vamdaan komt.
Het is inderdaad ook bijna volledig op te vangen door maar één security vinkje aanzetten op (de meeste) modern netwerkapparatuur, het heet "DHCP snooping"... Uiteraard kun je dat alsnog omzeilen, maar script kiddies blijven script kiddies.
Waar gaat dit over? Alsof iemand een wiel heeft uitgevonden. Met controle over DHCP kun je veel maar dan ook echt veel meer nare dingen uitvreten. En ja, dit is 1 voorbeeld ervan.
Wat een ontdekking hebben deze onderzoekers gedaan.
Dat hadden ze ze ook kunnen weten als ze in de settings van Android gekeken hadden. In elk geval bij de huidige Android 14 versie is het de default instelling om de DNS server van het netwerk te negeren en die van Android zelf te gebruiken. (Google wil nml meekijken naar je DNS verzoeken).
Alsof het product voor niets achter FW's en andere security maatregelen was geplaatst...
Het is inderdaad ook bijna volledig op te vangen door maar één security vinkje aanzetten op (de meeste) modern netwerkapparatuur, het heet "DHCP snooping"... Uiteraard kun je dat alsnog omzeilen, maar script kiddies blijven script kiddies.
Je weet blijkbaar niet zo goed wat DHCP Snooping doet , of je snapt deze aanval niet .
Vertel maar wat DCHP snooping doet tegen het aanwezig zijn van een Opt 121 meegeven door de dhcp server.?
Oh, of dacht je dat de aanval alleen ging over iemand die een _extra_ dhcp server op het netwerk draait en waarbij de "echte" server wel betrouwbaar is ?
Alsof het product voor niets achter FW's en andere security maatregelen was geplaatst...
Inderdaad, zo ben ik ook eens genaaid door pentesters .
Wilden ze de debug versie/plain text , uitgebreid verteld dat dat in productie NIET beschikbaar is, krijg je allemaal "bevindingen" en tips dat TLS aan zou moeten enzo.
Zwaar irritant, want het staat natuurlijk wel in een rapport van BigName, en dan klinkt alle kritiek die je erop hebt al heel snel als iemand die z'n straatje wil schoonvegen wat ie niet op orde had.
Wat een ontdekking hebben deze onderzoekers gedaan.
Dat hadden ze ze ook kunnen weten als ze in de settings van Android gekeken hadden. In elk geval bij de huidige Android 14 versie is het de default instelling om de DNS server van het netwerk te negeren en die van Android zelf te gebruiken. (Google wil nml meekijken naar je DNS verzoeken).
Google wil vooral dat het overal werkt, want als meegegeven DNS server brak is (best vaak bij de cachende ISP modems) krijgt per definitie die "klote Android telefoon" de schuld.
De supernerds die dat probleem _wel_ goed diagnosticeren stellen ook maar zelf de DNS server anders in.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
