Sicherheitsforscher haben in Linux eine Schwachstelle (CVE-2019-14899) aufgedeckt, welche die Sicherheit von OpenVPN, WireGuard und IKEv2/IPSec gefährdet. Aktuell wird noch getestet, ob Tor auch betroffen ist.
Anzeige
Ich bin über den nachfolgenden Tweet von Bleeping Computer auf das Thema aufmerksam geworden.
New Linux Vulnerability Lets Attackers Hijack VPN Connections – by @sergheihttps://t.co/hlAgONPWQG
— BleepingComputer (@BleepinComputer) December 5, 2019
Sicherheitsforscher haben eine neue Schwachstelle in Linux öffentlich gemacht, die es potenziellen Angreifern ermöglicht, VPN-Verbindungen auf betroffenen Geräten zu kapern und beliebige Daten-Nutzlasten in IPv4 und IPv6 TCP-Streams einzufügen. Die Schwachstelle hat die CVE-Kennzeichnung CVE-2019-14899, wobei in der betreffenden Datenbank keine Details genannt werden. Ein paar Informationen haben die Entdecker hier veröffentlicht.
Es sind quasi alle Linux-Distributionen sowie BSD von der Schwachstelle CVE-2019-14899 betroffen. Die meisten der von den Sicherheitsforschern getesteten Linux-Distributionen waren anfällig, insbesondere die folgenden Linux-Distributionen, die eine Version von systemd verwenden, die nach dem 28. November des letzten Jahres gezogen wurde. Zudem wurde haben kürzlich entdeckt, dass der Angriff auch gegen IPv6 funktioniert. Bleeping Computer hat nachfolgend einige betroffene Systeme aufgeführt.
Anzeige
A currently incomplete list of vulnerable operating systems and their init systems: pic.twitter.com/YeFTW2I3vR
— BleepingComputer (@BleepinComputer) December 5, 2019
Weiterhin sind faktisch alle VPN-Produkte seit Entdeckung der Schwachstelle nicht mehr sicher. Diese Sicherheitslücke "erlaubt es einem Angreifer, festzustellen, ob ein anderer Benutzer mit einem VPN verbunden ist, die virtuelle IP-Adresse, die ihm vom VPN-Server zugewiesen wurde, zu ermitteln und festzustellen, ob eine aktive Verbindung zu einer bestimmten Website besteht oder nicht", schreiben William J. Tolley, Beau Kujath, und Jedidiah R. Crandall, Breakpointing Bad Sicherheitsforscher der University of New Mexico.
Ein Fix gegen die Schwachstelle ist wohl möglich. Details lassen sich im Beitrag der Sicherheitsforscher oder dem Artikel von Bleeping Computer entnehmen.
Anzeige
Wenn ich es richtig verstehe, lässt sich dieser Angriff erst ausnutzen, wenn die VPN-Verbindung vom Angreifer bereits aufgebaut ist?
Wenn ich es richtig verstehe, wurde ein AccessPoint benutzt (der unter Kontrolle des Angreifers stand), um die Verbindung des Clients zum Server aufzubrechen – ist dies korrekt?
Und interessant ist auch:
This attack did not work against any Linux distribution we tested until
the release of Ubuntu 19.10, and we noticed that the rp_filter settings
were set to "loose" mode. We see that the default settings in
sysctl.d/50-default.conf in the systemd repository were changed from
"strict" to "loose" mode on November 28, 2018, so distributions using a
version of systemd without modified configurations after this date are
now vulnerable. Most Linux distributions we tested which use other init
systems leave the value as 0, the default for the Linux kernel.
Heisst dies, dass Ubuntus < 19.10 unaffected sind?
https://seclists.org/oss-sec/2019/q4/122
There are 4 components to the reproduction:
1. The Victim Device (connected to AP, 192.168.12.x, 10.8.0.8)
2. AP (controlled by attacker, 192.168.12.1)
3. VPN Server (not controlled by attacker, 10.8.0.1)
4. A Web Server (not controlled by the attacker, public IP in a real-
world scenario)
The victim device connects to the access point, which for most of our
testing was a laptop running create_ap. The victim device then
establishes a connection with their VPN provider.