...
Dieses Dokument enthält Informationen zu den Abwehrmöglichkeiten, der von Mathy Vanheof im Paper "Leaking VPN Client Traffic by Abusing Routing Tables" beschriebenen Angriffsmöglichkleiten "LocalNet-Angriff" und "ServerIP-Angriffe".
Alle Angriffe und deren Varianten sind neben den Ausführungen im Paper auch in folgenden CVE-Meldungen detailliert beschrieben:
LocalNet-Angriff:
ServerIP-Angriff:
| Info |
|---|
In der Standard-Einstellung sind sowohl die Advanced VPN Clients für Windows- als auch für macOS anfällig für beide Angriffe (LocalNet und ServerIP). |
| Info |
|---|
Bei den beschrieben Angriffen ist es wichtig zu erwähnen, dass diese den eigentlichen VPN-Tunnel nicht kompromittieren. Daten, die durch den VPN-Tunnel übertragen werden, sind nach wie vor sicher. Es wird vielmehr versucht, für den VPN-Tunnel bestimmten Datenverkehr vor dem Tunnel an ein anderes Ziel umzulenken um ihn dann im Klartext mitlesen zu können. Hierzu muss ein potentieller Angreifer entweder Zugang zum lokalen Netzwerk besitzen oder mittels eines sog. "Rogue Access Point" einen Netzwerk-Client dazu verleiten sich mit einer dem Client bekannten SSID zu verbinden und diesem so zu suggerieren, er sein mit einem vertrauenswürdigen Access Point im lokalen Netzwerk verbunden. Auf dem Rogue Access Point kann der Angreifer dann entsprechende Modifikationen vornehmen um den Datenverkehr umzuleiten. Die Methode zum Einsatz von Rogue Access Points wird auch in öffentlichen Netzwerken verwendet. Auf dem Access Point wird dann in der Regel eine offene SSID (ohne Passwort) angeboten. |
Alle Angriffe und deren Varianten sind neben den Ausführungen im Paper auch in folgenden CVE-Meldungen detailliert beschrieben:
LocalNet-Angriff:
ServerIP-Angriff:
| Info |
|---|
In der Standard-Einstellung sind sowohl die Advanced VPN Clients für Windows- als auch für macOS anfällig für beide Angriffe (LocalNet und ServerIP). |
1. Advanced VPN Client für Windows
...
Wie Sie diese Funktion nutzen, ist im Abschnitt 1.2 beschrieben.
OPTIONAL:
3. Technische Details zu den Angriffen
3.1 LocalNet-Angriff
Bei diesem Angriff werden Ausnahmeregeln für das Routing ins lokale Netz ausgenutzt.
Der Nutzer verbindet sich mit einem fremden Access-Point und bekommt als lokales Netz einen Adressbereich zugewiesen. Dieser Adressbereich wird vom Angreifer so gewählt, dass die IP-Adresse eines Ziel-Servers, den er überwachen will, darin enthalten ist. Das Ziel des Angreifers kann dabei sein:
3.1a) Datenverbindungen zum Ziel-Server zu registrieren, mitzulesen oder zu verfälschen. (Im Preprint Abschnitt "4.1.1 Leaking local traffic", CVE-2023-36672) oder
...
Abschnitt
...
1
...
Verhalten des Advanced VPN Client
Alle Windows- und macOS-Clients senden mit den Standard-Einstellungen Daten am Tunnel vorbei ins lokale Netzwerk, wenn die Zieladresse im lokalen Netz liegt. Daher sind die Clients für den bei Punkt 3.1a beschriebenen Angriff anfällig.
Empfehlung von LANCOM Systems:
- Der "Full Local Network Enclosure Mode" verhindert die Angriffe 3.1a und 3.1b.
- Im Windows-Client kann man die integrierte Firewall verwenden, um den Datenverkehr ins lokale Netz zu blockieren. Damit wird Angriff 3.1a abgewehrt.
- Zur Abwehr von Angriff 3.1b müsste man die Firewall-Logs regelmäßig kontrollieren.
| Info |
|---|
| Im CVE-2023-35838 und CVE-2023-36672 sind noch andere Abwehrmöglichkeiten beschrieben, z.B. das Verwenden von Policy-based Routing oder einer extra Firewall (LANCOM R&S Unfied Firewall oder eine auf dem Betriebssytem vorhandene Software Firewall). |
3.2 ServerIP-Angriffe
Hier werden Ausnahmeregeln für das Routing der VPN-Daten zum VPN-Server ausgenutzt. Das Preprint beschreibt hier zwei unterschiedliche Angriffe.
3.2.1 Deanonymisierung
Erlaubt es das Routing, beliebige Pakete außerhalb des Tunnels zum VPN-Server zu schicken (also nicht nur den gewünschten IPsec-Traffic), dann ermöglicht dies einen Deanonymisierungsangriff.
Der Angreifer platziert auf der Website, die überwacht werden soll, einen Link mit der IP-Adresse des VPN-Servers, z.B. in einem Forum Post. Der Angreifer kann nun überwachen, wann der Nutzer die Website besucht.
| Info |
|---|
Der im CVE-2023-36671 beschriebene Fall, dass ein Anwender anonym in Internet surfen und die besuchten Webseiten geheim halten will, entspricht nicht dem typischen Enterprise-Szenario unserer Kunden. Diese verwenden die VPN-Verbindungen hauptsächlich, um sicher aufs Firmennetzwerk zugreifen zu können. |
Verhalten des Advanced VPN Client
Die Firewall des Advanced VPN Client ist in den Standard-Einstellungen deaktiviert, und in Folge dessen werden alle Pakete zur IP-Adresse des VPN-Servers außerhalb des Tunnels verschickt. Daher sind die Windows- und macOS-Clients anfällig für den Angriff.
Empfehlung von LANCOM Systems
Zur Abwehr des Angriffs kann, wie oben beschrieben, die integrierte Firewall im Windows-Client verwendet werden.
| Info |
|---|
| Im CVE-2023-36671 sind noch andere Abwehrmöglichkeiten beschrieben, z.B. das Verwenden von Policy-based routing oder einer extra Firewall (LANCOM R&S Unfied Firewall oder eine auf dem Betriebssytem vorhandene Software Firewall). |
3.2.2 - DNS spoofing
Falls die IP-Adresse des VPN-Servers mit Hilfe von ungesichertem DNS aufgelöst wird, kann ein Angreifer dies Nutzen um dem VPN-Client eine falsche VPN-Server-Adresse zuzuweisen. Zusätzlich konfiguriert der Angreifer in seinem Access Point Address-Translation speziell für den VPN-Tunnel, so dass der Anwender diesen normal benutzen kann. Das Ziel des Angreifers kann dabei sein:
3.2.2a Verbindungen zur vermeintlichen IP-Adresse des VPN-Servers werden am Tunnel vorbei aufgebaut. (siehe auch CVE-2023-36673 Abschnitt "4.2.2 Leaking arbitrary traffic")
...
.2
...
Verhalten des Advanced VPN Client
Die Advanced VPN Clients erlauben ungesicherte DNS-Abfragen, daher ist es möglich, dass der Angreifer die IP-Adresse des VPN-Servers verfälscht.
Die Firewall des Advanced VPN Client ist in den Standard-Einstellungen deaktiviert, und in Folge dessen werden alle Verbindungen zur falschen IP-Adresse des VPN-Servers außerhalb des Tunnels aufgebaut.
Wurde der VPN-Server mit einem Hostnamen konfiguriert, dann sind die Windows- und macOS-Clients anfällig für den Angriff.
Empfehlung von LANCOM Systems
...
beschrieben
...
.