Unix-artige Systeme: Sicherheitslücke ermöglicht Übernahme von VPN-Verbindung

Durch eine gezielte Analyse und Manipulation von TCP-Paketen könnten Angreifer eigene Daten in VPN-Verbindungen einschleusen und diese so übernehmen. Betroffen sind fast alle Unix-artigen Systeme sowie auch VPN-Protokolle. Ein Angriff ist in der Praxis wohl aber eher schwierig.

Artikel veröffentlicht am ,
Angreifer, die den Access Point eines Nutzers kontrollieren, können damit VPN-Verbindungen manipulieren.
Angreifer, die den Access Point eines Nutzers kontrollieren, können damit VPN-Verbindungen manipulieren. (Bild: Alexander Baxevanis, flickr.com/CC-BY 2.0)

Forscher der University of New Mexico haben eine Sicherheitslücke (CVE-2019-14899) offengelegt, die es Angreifern unter bestimmten Umständen ermöglicht, Daten in eigentlich verschlüsselte VPN-Verbindungen von Opfern einzuschleusen und so letztlich auch die Verbindung zu übernehmen. Dafür werden gezielte Manipulationen am TCP-Stream durchgeführt.

Stellenmarkt
  1. Teamleiter IT-Betrieb (m/w/d)
    BAHN-BKK, Frankfurt am Main
  2. Master Data Manager (m/w/d)
    OEDIV KG, Bielefeld, Oldenburg
Detailsuche

Betroffen davon sind die Systeme Linux, FreeBSD, OpenBSD, MacOS, iOS und Android. Ebenso lässt sich der Angriff gegen verschiedene VPN-Protokolle und -Techniken durchführen. Dazu gehören laut den Forschern OpenVPN, Wireguard und IKEv2/IPSec. Darüber hinaus gehen die Experten aber auch davon aus, dass sich die Sicherheitslücke völlig unabhängig von der tatsächlich genutzten VPN-Technik ausnutzen lässt. Tor wiederum sei wohl aber nicht betroffen, da dieses Authentifzierung und Verschlüsselung im Userspace durchführe.

Um die Sicherheitslücke erfolgreich auszunutzen, müssen die Angreifer die Netzwerkverbindung des Opfers kontrollieren können, also zum Beispiel den Access Point übernehmen, mit dem sich das Opfer verbindet. Durch das Senden von SYN-ACK-Paketen können die Angreifer dann die virtuelle IP-Adresse des Opfers erhalten. Auf ähnlichem Weg lässt sich zusätzlich herausfinden, ob eine aktive TCP-Verbindung des Opfers zu einem bestimmten Server existiert, etwa einer Webseite.

Das sind sehr enge Voraussetzungen, so dass eine praktische Umsetzung des Angriffs, wenn überhaupt, nur sehr gezielt erfolgen kann. Die Forscher zeigen jedoch, dass sie in der Lage sind, unter diesen Bedingungen die TCP-Verbindung gezielt so zu manipulieren, dass letztlich beliebige TCP-Pakete eingeschleust werden können.

Workarounds statt Patches

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    06./07.02.2023, virtuell
Weitere IT-Trainings

Für die Sicherheitslücke würden bestimmte spezifische Eigenheiten ausgenutzt, die durchaus üblich seien, wie Wireguard-Entwickler Jason Donenfeld schreibt. Darüber hinaus seien direkte Patches oder Workarounds auf Ebene des Netzwerkstacks in den Systemen auch nicht unbedingt einfach umsetzbar, wie die Forscher beschreiben.

Die Sicherheitsforscher haben zudem eine wissenschaftliche Arbeit zu der Lücke vorbereitet, in der sie damit zusammenhängende Auswirkungen detailliert beschreiben wollen. Diese Arbeit soll jedoch erst dann veröffentlicht werden, wenn zufriedenstellende Workarounds als Lösung bereit stehen.

Für Wireguard hat Donenfeld zunächst eine Firewall-Regel erstellt, die jene externen Pakete verwirft, die nicht direkt aus der VPN-Verbindung stammen, wodurch der Angriff effektiv unterbunden wird. Weitere ähnliche Updates sollen folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 09. Dez 2019

Es ist ein grundsätzliches Problem, in der Art wie Unix-ähnliche Systeme etwas handhaben...

chefin 09. Dez 2019

Naja...deine Ignoranz macht dich zum Paradeopfer. VPN nutzt man um von einem unsicheren...

Anonymer Nutzer 07. Dez 2019

der angriff setzt auch nicht voraus, dass der vpn server kontrolliert wird. es setzt im...

damluk 07. Dez 2019

Die Details stehen im im Artikel verlinkten seclists.org Post.



Aktuell auf der Startseite von Golem.de
Netztest
Telekom hat laut Connect das fast perfekte Mobilfunknetz

Bei der Reichweite der Breitbandversorgung überholt Telefónica den Konkurrenten Vodafone. Die Telekom erhält 952 von maximal 1.000 Punkten.

Netztest: Telekom hat laut Connect das fast perfekte Mobilfunknetz
Artikel
  1. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. Wo Long Fallen Dynasty Vorschau: Souls-like mit Schwertkampf in China
    Wo Long Fallen Dynasty Vorschau
    Souls-like mit Schwertkampf in China

    Das nächste Souls-like heißt Wo Long: Fallen Dynasty und stammt von Team Ninja. Golem.de hat beim Anspielen mehr Gegner erledigt als erwartet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /