Zwakke plek die VPN-verkeer lekt in bijna alle VPN's aanwezig

De techniek, die de naam TunnelVision (CVE-2024-3661) meekreeg, werd ontdekt door de Leviathan Security Group. De essentie komt er op neer dat een gebruiker op een netwerk dat de aanvaller beheert, het risico loopt dat een verbinding via een VPN wordt afgeluisterd, terwijl het voor de gebruiker lijkt alsof men veilig verbonden is.

DHCP-server manipuleren

Bij een aanval moet de dader de DHCP-server van het netwerk manipuleren. Die beheert de IP-adressen die met het netwerk verbinding maken. Een specifieke instelling op je apparaat, ‘option 121’, geeft de DHCP-server de mogelijkheid om de standaard routing regel te veranderen. Daardoor kan er bepaald worden om het verkeer uit een VPN via een specifiek lokaal IP-adres te laten lopen.

Door een specifieke configuratie waarbij die server als gateway wordt gebruikt, zal het verkeer via de DHCP server lopen terwijl de inhoud kan bekeken worden.

Niet versleutelde routes

De bewuste ‘option 121’ laat aanvallers toe om een of meerdere routes op te zetten voor het internetverkeer. Maar die routes zijn niet versleuteld door de VPN en worden doorgestuurd door de netwerkinterface die met de DHCP server spreekt. Daarbij kan de aanvaller kiezen welke IP-adressen via de VPN-tunnel gaan en welke via de netwerkinterface die met de DHCP-server spreekt.

De ontdekkers nuanceren dat de aanval het best werkt als de dader administratorrechten heeft op het netwerk omdat de bewuste optie dan kan worden aangezet. Maar het is ook mogelijk dat iemand op het netwerk een eigen DHCP-server opzet en iets vergelijkbaars doet.

Sinds 2002 kwetsbaar

Opmerkelijk: de hack werkt niet op Android, omdat option 121 daar niet bestaat. Voor andere systemen is er geen ontsnappen aan op dit moment. Op Linux is het wel mogelijk om via de instellingen de impact te beperken, maar niet volledig uit te sluiten.

Wat de zaak nog verontrustender maakt is dat option 121 al sinds 2002 bestaat. De onderzoekers vermoeden ook dat de techniek in het verleden al werd gebruikt. Ze spreken overigens bewust niet over een kwetsbaarheid, omdat dat voor discussie vatbaar is. Het is een functie die bewust werd ingebouwd, maar ze maakt VPN-diensten wel nutteloos omdat die als doel hebben om je verkeer af te schermen.

Surfen via 5G

Er zijn wel oplossingen in afwachting van technische aanpassingen, zeggen de ontdekkers van Leviathan. Option 121 niet inschakelen (het lijkt er op dat dat standaard het geval is) is daar één van. Al kan het zijn dat je dan niet of lastiger op een netwerk kan geraken.

Het gevaar zit vooral bij wifi-netwerken, dus een andere mogelijkheid is om via het mobiele netwerk (4G of 5G) te gaan, bijvoorbeeld door van je gsm een mobiele hotspot te maken. Ook vanuit een virtuele machine werken kan het probleem vermijden, zo lang de netwerkadapter van de virtuele machine niet in bridged mode staat.

In samenwerking met Data News