Bestens gewappnet gegen VPN-Bypass-Schwachstellen wie «TunnelVision»

Veröffentlicht am 18. Juni 2024 | von Reto Amstad | Cyber Security | Security by Design | Network Security

Im vergangenen Mai haben Forschende eine Schwachstelle namens «TunnelVision» publiziert. Hierbei geht es darum, dass Daten am sicheren VPN-Tunnel vorbei und somit ohne zusätzlichen Schutz auf der Netzwerkebene transferiert werden. Schützenswerte Informationen lassen sich so ausspähen, manipulieren und beispielsweise für weitere Cyber-Attacken auf Infrastruktur und Services der Anwendungsschicht nutzen. Die gute Nachricht: Bei dagegen gehärteten Lösungen funktioniert diese Attacke nicht. Erfahren Sie im Blogbeitrag, inwiefern «TunnelVision» für die IPVPN-Lösungen der CyOne Security keine Bedrohung darstellt.

Virtual Private Networks (VPNs) sind Enabler des digitalen Zeitalters. Wer im Homeoffice arbeitet, verbindet sich via VPN-Tunnel mit dem Netzwerk seines Unternehmens und kann hierdurch deren IT-Infrastruktur nutzen. Auf diese Art und Weise lassen sich auch Niederlassungen an verschiedenen Standorten miteinander vernetzen. Die darüberliegenden Services können so gegenseitig verfügbar gemacht werden. So über die Tunnel ausgetauschte Informationen sind sicher – weder einseh- noch veränderbar.

Forschende des US-Cyber-Sicherheitsspezialisten Leviathan Security haben nun eine Schwachstelle publiziert, die sich bei einem grossen Teil von Netzwerk- und Endbenutzer-Lösungen mit VPN-Funktionalität ausnutzen lässt. «TunnelVision» (CVE-2024-3661) nennen sie die Angriffsmethode in ihrem Forschungsbericht. Damit ist es möglich, den Netzwerkverkehr an einem bestehenden VPN-Tunnel vorbei zu lenken, diesen zu lesen, zu stören oder gar zu verändern.

Tür steht seit über 20 Jahren offen

Besonders brisant: Die Sicherheitslücke existiert bereits seit über 20 Jahren. Einfallstor ist die Option 121 im Dynamic Host Configuration Protocol (DHCP). Damit können DHCP-Server den Geräten eine Routing-Information für Netzwerkschnittstellen vorgeben. Hierdurch können schützenswerte Daten auf Netzwerkebene an sicheren VPN-Tunneln vorbei umgeleitet werden, wodurch deren schützende Wirkung ungenutzt bleibt. Die Schwachstelle beruht also darauf, dass das Setzen von DHCP-Optionen von DHCP-Servern nicht authentifiziert werden muss. Um eine entsprechende Attacke durchzuführen, muss ein Angreifer im Wesentlichen einen von ihm kontrollierten DHCP-Server mit dem betroffenen Netzwerk verbinden. Er braucht also keine Kontrolle über einen regulär betriebenen DHCP-Server zu erlangen.

Betroffene und auch die IT-Verantwortlichen merken von einer solchen Attacke oft nichts, da es Angreifern häufig auch gelingt, Traffic wieder über die ordentlichen Verbindungen einzuspielen. Alles scheint ganz normal zu funktionieren. Dabei wurden die Daten gelesen, (selektiv) gelöscht oder gar manipuliert. Die Forschenden halten es denn auch für wahrscheinlich, dass einige Organisationen bereits unbemerkt auf diesem Weg ausspioniert wurden.

Der wirksamste Schutz sind «Security by Design» und «Security by Default»

Geschützt gegen den neu entdeckten Angriffsvektor ist das Betriebssystem Android, da die Option 121 hier nicht implementiert ist. Alle anderen Betriebssysteme sind zum jetzigen Zeitpunkt potenziell gefährdet. Jedoch gibt es Massnahmen, um Netzwerk- und Endbenutzer-Geräte gegen Schwachstellen wie «TunnelVision» zu schützen. Expertinnen und Experten empfehlen hierfür beispielsweise Virtualisierung, spezielle Firewall-Konfigurationen und/oder Traffic-Überwachung.

Für die IPVPN-Lösungen der CyOne Security ist «TunnelVision» keine Bedrohung. Sie werden getreu dem Ansatz «Security by Design» und «Security by Default» konsequent und umfassend gehärtet. Der Daten- und Gerätesicherheit wird während der gesamten Entwicklung höchste Priorität eingeräumt.

Organisationen mit IPVPN-Lösungen der CyOne Security im Einsatz profitieren von diesen Vorteilen

Sie verfügen über rundum sichere Systeme und ihre Daten sind jederzeit umfassend geschützt – sowohl «in transit» als auch «at rest».
Verifizierte Sicherheits-Updates und sichere Roll-out Prozesse ermöglichen eine schnelle und effektive Reaktion auf allfällige zukünftige Schwachstellen.
In Bezug auf «TunnelVision» sind keine zusätzlichen, aufwändigen Schutzmassnahmen nötig. Dies bedeutet im Endeffekt eine höhere Kosteneffizienz.

Reto Amstad
Senior Security Consultant

Was braucht es für die sichere Nutzung einer IPVPN-Lösung?

«Ich unterstütze Behördenorganisationen mit meiner Expertise, ihre Systeme vor Cyber-Risiken und unrechtmässigem Informationsabfluss zu schützen. Kontaktieren Sie mich für ein unverbindliches Expertengespräch.»

Bestens gewappnet gegen VPN-Bypass-Schwachstellen wie «TunnelVision»

Tür steht seit über 20 Jahren offen

Der wirksamste Schutz sind «Security by Design» und «Security by Default»

Organisationen mit IPVPN-Lösungen der CyOne Security im Einsatz profitieren von diesen Vorteilen

Was braucht es für die sichere Nutzung einer IPVPN-Lösung?

Cyber Security – Expertenwissen für Behörden

Cyber Security Blog Updates
für Behörden und Politiker.
Jetzt abonnieren!

Bestens gewappnet gegen VPN-Bypass-Schwachstellen wie «TunnelVision»

Tür steht seit über 20 Jahren offen

Der wirksamste Schutz sind «Security by Design» und «Security by Default»

Organisationen mit IPVPN-Lösungen der CyOne Security im Einsatz profitieren von diesen Vorteilen

Was braucht es für die sichere Nutzung einer IPVPN-Lösung?

Cyber Security – Expertenwissen für Behörden

SCADA-Systeme: enormes Potenzial – hohes Cyber-Risiko

Fragmentierter Cyberspace: Gefahr für zukünftige Cyber-Ermittlungen?

Mini-Drohnen: Militärische Revolution mit Sicherheitsrisiken

Edge Computing stellt neue Ansprüche an IoT Security

Cyber Security Blog Updatesfür Behörden und Politiker. Jetzt abonnieren!

Cyber Security Blog Updates
für Behörden und Politiker.
Jetzt abonnieren!