Angreifer umgehen VPN und lesen Datenverkehr aus
"Tunnelvision", eine Lücke im Dynamic Host Configuration Protocol (DHCP), ermöglicht es Angreifern, auch einen durch VPN geschützten Datenverkehr zu analysieren. Die Lücke befindet sich in der DHCP-Option 121, die seit 2002 verwendet wird.
Dani Cronce und Lizzie Moratti von Leviathan Security haben einen Weg entdeckt, wie man den Datenverkehr von VPN-Nutzenden ausspähen kann. Über einen Eingriff ins Routing beim Opfer können Spione den Datenverkehr am VPN vorbei leiten und analysieren, wie "Heise" schreibt.
Um den Datenverkehr umzuleiten, nutzen Unbefugte eine Lücke namens "Tunnelvision". Die Tür für den Abhörangriff ist die 2002 eingeführte Option 121 im Dynamic Host Configuration Protocol (DHCP), das die dynamische Vergabe von IP-Adressen regelt. Mit dieser Option können DHCP-Server den Geräten eine Routing-Information vorgeben, durch die der Datenverkehr umgeleitet wird. Um die Schwachstelle ausnutzen zu können, muss der Angreifer im gleichen lokalen Netzwerk wie das Opfer sein.
Android-User sind sicher, andere müssen aufpassen
Von der Schwachstelle sind alle Betriebssysteme ausser Android betroffen. Googles Betriebssystem ignoriert die DHCP-Option 121 einfach, weshalb der Datenverkehr von Android-Geräten nicht von der Lücke betroffen ist. Um die eigenen Daten zu schützen, kann man das Netzwerk partitionieren, so dass ein "Tunnelvision"-Angriff nicht zur Offenlegung unverschlüsselter Daten führt. Bei Linux kann man das via sogenannte Network Namespaces machen. Andererseits kann man laut den Forschenden die VPN-Verbindung über Firewall-Regeln absichern.
Die Forschenden informierten vor der Veröffentlichung ihrer detaillierten Erörterung die Anbieter von VPNs über die Lücke. Laut den Forschenden sind sowohl VPN-Betreiber sowie Betriebssystemanbieter und Systemadministratoren gefordert, um technische Massnahmen zum Schutz ihrer Kundinnen und Kunden zu ergreifen. Des Weiteren legen die Forschenden VPN-Nutzenden nahe, nur in vertrauenswürdigen Netzen zu agieren, auf den Hotspot des eigenen Smartphones zurückzugreifen oder die VPN-Verbindung über eine virtuelle Maschine aufzubauen.
Das könnte Sie ebenfalls interessieren: Cisco schliesst nicht nur eine Sicherheitslücke seiner Serververwaltungs-Software IMC, sondern warnt auch vor einer Angriffswelle auf VPN-Dienste. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Compass IT wird Teil der Helvero E-Health Group
Welche Rolle KI in der nächsten Generation von ERP-Systemen spielt
Die Industrialisierung des Betrugs: KI verändert die Finanzkriminalität
BACS probt Cyberresilienz von Gemeinden und Unternehmen
Software für den Kreditmarkt: Vom Antrag bis zur Refinanzierung
SOWARIS setzt auf Schweizer Cloud: Virtual Datacenter als IT-Fundament
Zürcher ICT-Lernende feiern Berufsabschluss
What You See Is What You Get
Angreifer umgehen MFA bei Microsoft 365 mit altem Anmeldeverfahren