Auch auf einem WLAN-Router könnte sich ein Angreifer einnisten, um VPN-Verbindungen zu manipulieren.

Foto: Matt Rourke / AP

Die eigene Datenverbindung über einen sicheren Tunnel zu schützen – das ist das Versprechen von VPN-Lösungen. Sicherheitsforscher zeigen nun aber einen Weg, wie dieser Schutz ausgehebelt werden kann, und zwar einen, von dem fast alle großen Systeme betroffen sind.

Manipulation

Über eine grundlegende Schwachstelle können Angreifer VPN-Verbindungen übernehmen und eigene Daten einschleusen. Davor warnen die Forscher der University of New Mexico. Was die Angelegenheit besonders unerfreulich macht, ist, dass fast alle gängigen Systeme betroffen sind. So lässt sich der Angriff sowohl gegen Linux als auch andere Unix-artige-Systeme durchführen. Dazu zählen neben FreeBSD und OpenBSD auch macOS sowie iOS und Android. Auch sind verschiedenste VPN-Techniken betroffen – von OpenVPN über Wireguard bis zu IKEv2/IPSec.

Das liegt daran, dass die eigentliche Lücke auf Ebene des Netzwerk-Stacks des Betriebssystems angesiedelt ist. Um sie auszuräumen bräuchte es grundlegende Umbauten an dieser Stelle, betont denn auch Wireguard-Entwickler Jason Donenfeld. Aus diesem Grund gibt es auch keine schnelle Lösung des Problems. Diese Problematik ist auch den Sicherheitsforschern bewusst, entsprechend wollen sie mit der Veröffentlichung einer wissenschaftlichen Arbeit zu dem Thema noch zuwarten, bis entsprechende Anpassungen vorgenommen wurden.

Angriffsszenario

Angesichts dessen bleibt zumindest der Trost, dass die Lücke relativ schwer auszunutzen ist. Ein Angreifer müsste schon direkten Zugriff auf die Netzwerkverbindung des Opfers haben – etwa indem er sich auf einem Access Point verankert. Mithilfe von SYN-ACK-Paketen kann er dann die virtuelle IP-Adresse des Opfers erhalten, um infolge Daten auszuspionieren oder zusätzliche einzuschleusen.

Wer nicht solange warten will, bis die Betriebssystementwickler eine Lösung für den Netzwerk-Stack gefunden haben, für den hat Donenfeld zumindest eine Firewall-Regel zur Absicherung von Wireguard-Verbindungen parat. Diese sorgt dafür, das alle Pakete verworfen werden, die nicht vom Wireguard-Interface kommen. (apo, 9.12.2019)