CVE-2024-3661 Kwetsbaarheid

Onderzoekers hebben een methode ontdekt genaamd TunnelVision, een Virtual Private Network (VPN)-ontwijkingstechniek waarmee bedreigingsactoren netwerkverkeer kunnen onderscheppen van slachtoffers die zich op hetzelfde lokale netwerk bevinden.

Deze 'decloaking'-aanpak is geïdentificeerd met CVE-identifier CVE-2024-3661. Het is van invloed op alle besturingssystemen die een DHCP-client bevatten die DHCP-optie 121-routes ondersteunt. TunnelVision leidt in wezen ongecodeerd verkeer om via een VPN door gebruik te maken van een door een aanvaller bestuurde DHCP-server, die klasseloze statische routeoptie 121 gebruikt om de routeringstabel van VPN-gebruikers te wijzigen. Het DHCP-protocol authenticeert zulke optieberichten niet, waardoor ze aan manipulatie worden blootgesteld.

De rol van het DHCP-protocol

DHCP is een client/server-protocol dat is ontworpen om automatisch Internet Protocol (IP)-adressen en gerelateerde configuratiedetails zoals subnetmaskers en standaardgateways toe te wijzen aan hosts, waardoor ze verbinding kunnen maken met een netwerk en de bijbehorende bronnen.

Dit protocol vergemakkelijkt de betrouwbare toewijzing van IP-adressen via een server die een verzameling beschikbare adressen bijhoudt en er één toewijst aan elke DHCP-client bij het opstarten van het netwerk.

Omdat deze IP-adressen dynamisch (gehuurd) zijn in plaats van statisch (permanent toegewezen), worden adressen die niet langer in gebruik zijn, automatisch teruggestuurd naar de pool voor nieuwe toewijzing.

Door het beveiligingslek kan een aanvaller DHCP-berichten verzenden om de routering te manipuleren en VPN-verkeer om te leiden. Deze exploit stelt de aanvaller in staat netwerkverkeer dat naar verwachting veilig zou zijn onder de VPN, mogelijk te bekijken, te verstoren of te wijzigen. Omdat deze methode onafhankelijk van VPN-technologieën of onderliggende protocollen werkt, wordt deze volledig niet beïnvloed door de gebruikte VPN-provider of implementatie.

Het beveiligingslek CVE-2024-3661 kan van invloed zijn op de meeste grote besturingssystemen

In wezen misleidt TunnelVision VPN-gebruikers door te denken dat hun verbindingen veilig en gecodeerd zijn via een tunnel, maar stuurt ze door naar de server van de aanvaller voor mogelijke inspectie. Om VPN-verkeer met succes bloot te leggen, moet de DHCP-client van de beoogde host DHCP-optie 121 ondersteunen en een lease van de server van de aanvaller accepteren.

Deze aanval lijkt op TunnelCrack, waarbij verkeer uit een beschermde VPN-tunnel lekt wanneer verbinding wordt gemaakt met onbetrouwbare Wi-Fi-netwerken of malafide ISP's, wat leidt tot Adversary-in-the-Middle-aanvallen (AitM).

Het probleem heeft gevolgen voor grote besturingssystemen zoals Windows, Linux, macOS en iOS, maar niet voor Android vanwege het gebrek aan ondersteuning voor DHCP-optie 121. VPN-tools die uitsluitend afhankelijk zijn van routeringsregels om verkeer te beveiligen, worden ook getroffen.