Zo goed als alle VPN-toepassingen lopen het risico om hun verkeer te lekken. Het gaat om een zeer gerichte aanvalstechniek die vermoedelijk al jaren mogelijk is.
De techniek, die de naam TunnelVision (CVE-2024-3661) meekreeg, werd ontdekt door de Leviathan Security Group. De essentie komt er op neer dat een gebruiker op een netwerk dat de aanvaller beheert, het risico loopt dat een verbinding via een VPN wordt afgeluisterd, terwijl het voor de gebruiker lijkt alsof men veilig verbonden is.
Bij een aanval moet de dader de DHCP-server van het netwerk manipuleren. Die beheert de IP-adressen die met het netwerk verbinding maken. Een specifieke instelling op je toestel, ‘option 121’, geeft de DHCP-server de mogelijkheid om de standaard routing regel te veranderen. Daardoor kan er bepaald worden om het verkeer uit een VPN via een specifiek lokaal IP-adres te laten lopen.
Door een specifieke configuratie waarbij die server als gateway wordt gebruikt, zal het verkeer via de DHCP server lopen terwijl de inhoud kan bekeken worden.
De bewuste ‘option 121’ laat aanvallers toe om een of meerdere routes op te zetten voor het internetverkeer. Maar die routes zijn niet geëncrypteerd door de VPN en worden doorgestuurd door de netwerkinterface die met de DHCP server spreekt. Daarbij kan de aanvaller kiezen welke IP-adressen via de VPN-tunnel gaan en welke via de netwerkinterface die met de DHCP server spreekt.
Adminrechten handig, maar niet nodig
De ontdekkers nuanceren dat de aanval het best werkt als de dader administratorrechten heeft op het netwerk omdat de bewuste optie dan kan worden aangezet. Maar het is ook mogelijk dat iemand op het netwerk een eigen DHCP-server opzet en zo iets vergelijkbaars doet.
Sinds 2002
Opmerkelijk: de hack werkt niet op Android, omdat option 121 daar niet bestaat. Voor andere systemen is er geen ontsnappen aan op dit moment. Op Linux is het wel mogelijk om via de instellingen de impact te beperken, maar niet volledig uit te sluiten.
Wat de zaak nog verontrustender maakt is dat option 121 al sinds 2002 bestaat. De onderzoekers vermoeden ook dat de techniek in het verleden al werd gebruikt. Ze spreken overigens bewust niet over een kwetsbaarheid, omdat dat voor discussie vatbaar is. Het is een functie die bewust werd ingebouwd, maar ze maakt VPN-diensten wel nutteloos omdat die als doel hebben om je verkeer af te schermen.
Surfen via 5G
Er zijn wel oplossingen in afwachting van technische aanpassingen, zeggen de ontdekkers van Leviathan. Option 121 niet inschakelen (het lijkt er op dat dat standaard het geval is) is daar één van. Al kan het zijn dat je dan niet of lastiger op een netwerk kan geraken.
Het gevaar zit vooral bij wifi-netwerken, dus een andere mogelijkheid is om via het mobiele netwerk (4G of 5G) te gaan, bijvoorbeeld door van je gsm een mobiele hotspot te maken. Ook vanuit een virtuele machine werken kan het probleem vermijden, zo lang de netwerkadapter van de virtuele machine niet in bridged mode staat.
Fout opgemerkt of meer nieuws? Meld het hier