VPN-verbindingen te kapen via kwetsbaarheid

De gevonden kwetsbaarheid (die CVE-nummer 2019-14899 heeft gekregen) zit in de manier waarop de getroffen besturingssystemen reageren op onverwachte verkenningen van netwerkpakketjes (network packet probes), meldt ZDNet. Hackers kunnen deze reactie op OS-niveau benutten om apparaten te onderzoeken en zo details over de verbindingsstatus van een VPN te ontdekken.

Verbinding uitpluizen

Het uitvoeren van aanvallen door middel van deze VPN-kwetsbaarheid is mogelijk vanaf een malafide access point of router. Aanvallers die op hetzelfde netwerk als hun slachtoffer zitten, kunnen vaststellen of het slachtoffer met een VPN-dienst verbonden is, welk virtueel IP-adres ze van de VPN-server hebben gekregen en of er een actieve verbinding is met een website.

De onderzoekers van de University of Mexico wisten zelfs te bepalen wat de specifieke volgorde van pakketjes in bepaalde VPN-verbindingen is. Aan de hand daarvan kunnen deze beveiligde verbindingen zelfs gekaapt worden.

De kwetsbaarheid zit in meerdere op Unix gebaseerde systemen, waaronder diverse versies van Linux. Het gaat bijvoorbeeld om Ubuntu 19.10, Fedora en Debian 10.2 Maar ook besturingssystemen als Android en macOS, die ook Unix-gebaseerd zijn, bevatten de fout.

Niet heel eenvoudig

De onderzoekers bevestigen dat de aanval onder meer in te zetten is tegen OpenVPN, WireGuard en IKEv2/IPSec. Ook andere VPN-diensten kunnen echter getroffen worden door deze beveiligingskwestie. "Welke VPN-technologie er gebruikt wordt, maakt voor de aanval niet uit", waarschuwen de wetenschappers. 

Het is echter niet heel eenvoudig om de aanval uit te voeren, dus de kans is klein dat er massaal misbruik van de kwetsbaarheid gemaakt wordt. Voor gerichte aanvallen op specifieke individuele VPN-gebruikers heeft de gevonden fout echter wel flink nut voor misbruik.