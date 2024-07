Vpn-gebruikers wereldwijd zijn kwetsbaar voor een aanval genaamd port shadow waarbij het mogelijk is om verbindingen af te luisteren en te kapen, en gebruikers bijvoorbeeld door te sturen naar malafide websites. Dat laten onderzoekers van verschillende universiteiten weten. Het probleem speelt bij vpn-software OpenVPN, WireGuard en OpenConnect draaiend op Linux en FreeBSD.

Bij de port shadow-aanval kan een aanvaller vanuit zijn eigen verbinding naar de vpn-server en vanaf een remote internetlocatie speciaal geprepareerde pakketten versturen, waardoor het mogelijk is om andere vpn-gebruikers die dezelfde vpn-server gebruiken aan te vallen. "We noemen deze aanval een port shadow, omdat de aanvaller zijn eigen informatie als een gedeelde resource op de poort van het slachtoffer schaduwt, en deze aanval kan leiden tot het afluisteren van onversleutelde data, poortscans of het kapen van de verbinding", aldus de onderzoekers.

Vpn-servers maken gebruik van een 'connection tracking framework' om verkeer van en naar verbonden vpn-gebruikers te sturen. Dit framework heeft veel controle over hoe de vpn-server pakketten verstuurt en ontvangt. Het wordt daarnaast door alle vpn-gebruikers gedeeld die met de vpn-server zijn verbonden en kan door elke vpn-gebruiker worden aangepast. "Dit maakt het mogelijk voor een malafide gebruiker om de vpn-server te dwingen om pakketten op verschillende manieren een andere route te geven", zo stellen de onderzoekers.

"Een vpn kan de gebruiker in bepaalde gevallen minder veilig maken. Een aanvaller kan bijvoorbeeld je verbinding naar een andere server afluisteren of kapen", gaan de onderzoekers verder. Een beveiligingsupdate voor het probleem is niet beschikbaar. Wel kunnen vpn-providers firewall rules instellen om de aanval te voorkomen. Vpn-gebruikers kunnen als oplossing een protocol zoals ShadowSocks of Tor gebruiken.

Toen de onderzoekers hun bevindingen rapporteerden bleek dat het probleem eerder al was ontdekt in OpenVPN en CVE-nummer CVE-2021-3773 toegekend heeft gekregen. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verder bleek dat sommige vpn-diensten die van OpenVPN en WireGuard gebruikmaken niet kwetsbaar zijn voor CVE-2021-3773, waaronder NordVPN, ExpressVPN en Surfshark.