Sicherheitslücke CVE-2024-3661

Forscher haben eine Methode namens TunnelVision entdeckt, eine Umgehungstechnik für virtuelle private Netzwerke (VPN), die es Bedrohungsakteuren ermöglicht, den Netzwerkverkehr von Opfern abzufangen, die sich im selben lokalen Netzwerk befinden.

Dieser „Decloaking“-Ansatz wurde mit der CVE-Kennung CVE-2024-3661 identifiziert. Er betrifft alle Betriebssysteme, die einen DHCP-Client enthalten, der DHCP-Option-121-Routen unterstützt. TunnelVision leitet im Wesentlichen unverschlüsselten Verkehr über ein VPN um, indem es einen vom Angreifer kontrollierten DHCP-Server nutzt, der die klassenlose statische Routenoption 121 verwendet, um die Routing-Tabelle der VPN-Benutzer zu ändern. Das DHCP-Protokoll authentifiziert solche Optionsnachrichten konstruktionsbedingt nicht und setzt sie daher Manipulationen aus.

Die Rolle des DHCP-Protokolls

DHCP ist ein Client/Server-Protokoll, das dazu dient, Hosts automatisch Internet Protocol (IP)-Adressen und zugehörige Konfigurationsdetails wie Subnetzmasken und Standard-Gateways zuzuweisen, damit sie eine Verbindung zu einem Netzwerk und seinen Ressourcen herstellen können.

Dieses Protokoll ermöglicht die zuverlässige Zuweisung von IP-Adressen durch einen Server, der einen Pool verfügbarer Adressen verwaltet und beim Netzwerkstart jedem DHCP-fähigen Client eine Adresse zuweist.

Da es sich hierbei um dynamische (geleaste) und nicht um statische (dauerhaft zugewiesene) IP-Adressen handelt, werden nicht mehr verwendete Adressen automatisch zur Neuzuweisung an den Pool zurückgegeben.

Die Sicherheitslücke ermöglicht es einem Angreifer, DHCP-Nachrichten zu senden, um das Routing zu manipulieren und den VPN-Verkehr umzuleiten. Dieser Exploit ermöglicht es dem Angreifer, Netzwerkverkehr, der unter dem VPN als sicher angesehen wurde, anzuzeigen, zu stören oder zu ändern. Da diese Methode unabhängig von VPN-Technologien oder zugrunde liegenden Protokollen funktioniert, ist sie vom verwendeten VPN-Anbieter oder der verwendeten Implementierung völlig unabhängig.

Die Sicherheitslücke CVE-2024-3661 kann die meisten gängigen Betriebssysteme betreffen

Im Wesentlichen täuscht TunnelVision VPN-Benutzer, indem es ihnen vorgaukelt, ihre Verbindungen seien sicher und durch einen Tunnel verschlüsselt, leitet sie aber zur möglichen Überprüfung auf den Server des Angreifers um. Um den VPN-Verkehr erfolgreich offenzulegen, muss der DHCP-Client des Zielhosts die DHCP-Option 121 unterstützen und eine Lease vom Server des Angreifers akzeptieren.

Dieser Angriff ähnelt TunnelCrack, bei dem beim Verbinden mit nicht vertrauenswürdigen WLAN-Netzwerken oder betrügerischen ISPs Datenverkehr aus einem geschützten VPN-Tunnel verloren geht, was zu Adversary-in-the-Middle-Angriffen (AitM) führt.

Das Problem betrifft wichtige Betriebssysteme wie Windows, Linux, macOS und iOS, jedoch nicht Android, da die DHCP-Option 121 nicht unterstützt wird. VPN-Tools, die sich zur Sicherung des Datenverkehrs ausschließlich auf Routing-Regeln verlassen, sind ebenfalls betroffen.