Tunnelvision: Angreifer können VPNs aushebeln und Daten umleiten
Mit einer 22 Jahre alten DHCP-Option können Angreifer bewirken, dass Datenverkehr am VPN vorbeiläuft. Weder Nutzer noch VPN-Betreiber bekommen das mit.
Bei Tunnelvision bleibt die VPN-Verbindung stabil, während der Datenverkehr andere Wege nimmt – ohne VPN-Schutz.
(Bild: Shutterstock/Primakov)
Wer sich in einer nicht vertrauenswürdigen Netzwerkumgebung befindet, nutze ein VPN – so lautet ein viel zitiertes Sicherheitsmantra. Ein zweiköpfiges Forscherteam hat nun einen Weg entdeckt, Datenverkehr trotz VPN zu analysieren. Der Trick: Über einen Eingriff ins Routing beim Opfer leiten sie den Datenverkehr einfach am VPN vorbei. Unter Umständen können Angreifer so an unverschlüsselte Datenpakete ihrer Opfer kommen. Der Angriff funktioniert, wenn Opfer und Angreifer im selben lokalen Netz (LAN) sind, ist jedoch nur schwer zu entdecken. Nur Android ist von Haus aus nicht anfällig – andere Betriebssysteme benötigen zusätzliche Schutzmaßnahmen.
Betroffen von der Lücke namens "TunnelVision" sind alle VPNs, die die Forscher getestet haben – sie geben an, über 50 Hersteller über das Sicherheitsproblem informiert zu haben. Ansatzpunkt für den Angriff ist die 2002 eingeführte "Option 121" im Dynamic Host Configuration Protocol (DHCP), das die dynamische Vergabe von IP-Adressen regelt. Ein DHCP-Server kann Geräten neben ihrer IP-Adresse mittels dieser Option Routing-Informationen vorgeben, um den Datenverkehr in ein bestimmtes Zielnetz über eine andere als die Standard-Route zu senden.
Nutzt der Anwender – etwa in einem ungesicherten Hotel-WLAN – ein VPN, so werden alle Datenpakete zunächst verschlüsselt, bevor sie seinen Rechner in Richtung VPN-Gateway verlassen. Dieses entschlüsselt sie und leitet sie ihren tatsächlichen Empfängeradressen zu. Unter normalen Bedingungen kann ein Kontrahent im unsicheren WLAN zwar Pakete mitschnüffeln, die VPN-Verschlüsselung aber nicht knacken. Kontrolliert er jedoch den zuständigen DHCP-Server, kann er Endgeräten einfach befehlen, ihre Daten am VPN vorbeizuschicken. Dazu sendet er die DHCP-Option 121 mit einer entsprechenden Route – etwa, um alle DNS-Abfragen umzuleiten. Die VPN-eigene Verschlüsselung entfällt, die VPN-Verbindung bleibt jedoch bestehen, sodass der Nutzer vom Angriff nichts mitbekommt.
Der DHCP-Server steht normalerweise unter der Kontrolle des Systemadministrators, Dritte können ihn nicht manipulieren. Dennoch könnte ein Angreifer einen zweiten DHCP-Server ins LAN einschleusen – er muss jedoch den eigentlichen, "autoritativen" DHCP-Server mundtot machen. Am einfachsten ist wohl die Methode, bei diesem massenhaft IP-Adressen anzufragen, bis dessen Adresspool erschöpft ist. Der eingeschleuste DHCP-Server kann dann in die Bresche springen und selbst Adressen zuteilen. Hat er das Zielgerät einmal an sich gebunden, leitet er dessen Verkehr vor erfolgter VPN-Verschlüsselung um und kann fortan mitlesen.
Ist der Datenverkehr schon vor der Zuleitung ins VPN verschlüsselt, wie es beispielsweise beim Aufruf von Webseiten mittels https der Fall ist, bleibt diese Verschlüsselung bestehen; der Angreifer kann die Klartextdaten nicht lesen. Allerdings kann er feststellen, welche Ziele das Opfer besucht, was verheerende Folgen haben kann. Für Abruf oder Verbreitung verbotener Internet-Inhalte wurden auch schon Todesstrafen verhängt.
Jeder kann DHCP spielen
Grundproblem bei Tunnelvision ist, dass es kein DHCPsec gibt. DHCP-Server authentifizieren sich nicht gegenüber ihren Clients, es gewinnt, wer dem Nutzer am schnellsten eine IP-Adresse zuteilt. Einen Entwurf einer Methode zur Absicherung von DHCP hat 1997 der damalige Intel-Mitarbeiter Baiju V. Patel vorgeschlagen, doch ist daraus nichts geworden. Ein 2001 vorgeschlagenes RFC 3118 kennt zwar eine rudimentäre Form der DHCP-Authentifizierung, diese schützt jedoch nur gegen versehentliche Kollisionen mehrerer DHCP-Server und nicht gegen absichtliche Attacken.
Der Tunnelvision-Angriff gelingt selbst dann, wenn die VPN-Verbindung bereits besteht. Der Angreifer muss nur warten, bis das anzugreifende Endgerät die Zuordnung seiner IP-Adresse erneuern muss und an den DHCP-Server eine entsprechende Anfrage schickt. Leviathan Security hat das Problem mit Windows, Linux, iOS und MacOS nachgestellt – nur bei Android funktioniert der Angriff nicht, weil Android die DHCP-Option 121 ignoriert.
Abhilfe: Partitionieren, blockieren, ignorieren
Besonders leicht haben es Android-Nutzer: Da das mobile Betriebssystem die DHCP-Option 121 schlicht ignoriert, ist es nicht anfällig für TunnelVision. Nutzer anderer Betriebssysteme müssen jedoch Gegenmaßnahmen ergreifen, um nicht in die Falle zu laufen. Das Autorenteam von Leviathan Security schlägt Nutzern und VPN-Anbietern verschiedene Schritte vor.
Wer Wert auf Anonymität und Privatsphäre lege, solle Verbindungen zu nicht vertrauenswürdigen Netzen vermeiden, auf die Hotspot-Funktion seines Smartphones zurückgreifen oder eine VPN-Verbindung über eine virtuelle Maschine ohne "bridged" Netzwerkadapter aufbauen. VPN-Anbieter können auf zusätzliche technische Maßnahmen zurückgreifen, um ihre Kunden zu schützen.
So kennt Linux seit Kernel 2.6.24 (Jahrgang 2008) sogenannte network namespaces. Damit lässt sich das Netzwerk so partitionieren, dass der Tunnelvision-Angriff nicht mehr zur Offenlegung unverschlüsselten Datenverkehrs führt. Allerdings kann ein derart abgeschottetes Gerät dann auch nicht auf Ressourcen im LAN zugreifen.
Ansonsten mag es gelingen, die VPN-Verbindung über klassische Firewall-Regeln abzusichern, sodass nicht über das VPN laufende Datenpakete weggeschmissen werden. Auch das ist jedoch kein vollständiger Schutz, so die Entdeckerinnen: Mit einem statistischen Seitenkanalangriff sind trotzdem Rückschlüsse auf IP-Adressen möglich, die das Opfer ansteuert. Dafür muss der Angreifer jedoch den Datenverkehr abhören können, etwa in einem unverschlüsselten WLAN.
Ist das überhaupt eine Sicherheitslücke?
Völlig neu ist die Entdeckung nicht. Der deutsche Hacker jomo wies bereits 2017 auf das Umleitungsverfahren mittels DHCP-Option 121 hin und warnte, dass es VPN-Datenverkehr kompromittiert.
Das Leviathan-Team, bestehend aus Lizzie Moratti und Dani Cronce, hat das Problem nun erstmals detailliert erörtert (samt Proof of Concept Video, Lab Setup Code und DHCP Server Image). Zudem hat Leviathan die CVE-Nummer CVE-2024-3661 erwirkt (Common Vulnerabilities and Exposures).
Dabei geben die beiden Forscher zu, dass Tunnelvision nicht unbedingt als Sicherheitslücke gesehen werden muss. Schließlich beruht der Angriff auf einer Option, die so funktioniert, wie sie designt worden ist. Dennoch sind sowohl VPN-Betreiber als auch Betriebssystementwickler und Systemadministratoren gefordert. Mehr denn je gilt, öffentliche WLAN-Hotspots zu meiden. Schließlich kann für einen erfolgreichen Angriff reichen, dass der Angreifer im selben Netzwerk ist.
Vor Veröffentlichung hat Leviathan Security mehrere Dutzend bekannte VPN-Anbieter informiert, auch mithilfe der Electronic Frontier Foundation (EFF) und der US-Cybersicherheitsbehörde CISA. Die Forscher fürchten, dass die Umleitung mit DHCP-Option 121 vielleicht schon seit 2002 praktiziert wird. Im nächsten Schritt planen die Forscherinnen, ihr Werkzeug "ArcaneTrickster" zu veröffentlichen, das Angriffe erheblich vereinfachen und so letzte Zweifler in der VPN-Industrie überzeugen soll.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Virtuelle private Netzwerke gelten Angreifern als lohnendes Ziel. So hatten sich gewiefte Cybergangster so tief in Ivanti-VPN-Appliances eingenistet, dass die CISA diese per Dekret vom Netz nehmen ließ. Wie die US-Behörden vermuten, stehen die Eindringlinge von "Volt Typhoon" im Sold der chinesischen Regierung.
(ds)
