VPN-gebruikers wereldwijd kwetsbaar voor Shadow Port-aanval

VPN-gebruikers over de hele wereld zijn kwetsbaar voor een aanval die poortschaduw wordt genoemd en die het mogelijk maakt verbindingen te bespioneren en te kapen en gebruikers bijvoorbeeld om te leiden naar kwaadaardige websites. Dat stellen onderzoekers van verschillende universiteiten. Het probleem doet zich voor bij OpenVPN-, WireGuard- en OpenConnect VPN-software die op Linux en FreeBSD draait.

Met de schaduwpoortaanval kan een aanvaller speciaal vervaardigde pakketten verzenden vanaf zijn eigen verbinding naar de VPN-server en vanaf een externe internetlocatie, waardoor het mogelijk wordt andere VPN-gebruikers aan te vallen die dezelfde VPN-server gebruiken. “We noemen deze aanval een verborgen poort omdat de aanvaller zijn eigen informatie verbergt als een aandeel op de poort van het slachtoffer, en deze aanval kan leiden tot het afluisteren van niet-gecodeerde gegevens, het scannen van poorten of het kapen van verbindingen”, aldus de onderzoekers.

VPN-servers gebruiken een raamwerk voor het traceren van verbindingen om verkeer van en naar verbonden VPN-gebruikers te sturen. Dit raamwerk heeft veel controle over hoe de VPN-server pakketten verzendt en ontvangt. Het wordt ook gedeeld door alle VPN-gebruikers die zijn verbonden met de VPN-server en kan door elke VPN-gebruiker worden aangepast. “Dit maakt het voor een oneerlijke gebruiker mogelijk om de VPN-server te dwingen pakketten op verschillende manieren om te leiden”, aldus de onderzoekers.

“Een VPN kan de gebruiker in bepaalde gevallen minder veilig maken. Een aanvaller kan bijvoorbeeld je verbinding met een andere server bespioneren of kapen”, vervolgen de onderzoekers. Er is geen beveiligingsupdate beschikbaar voor het probleem. VPN-providers kunnen echter firewallregels instellen om de aanval te voorkomen. VPN-gebruikers kunnen een protocol als ShadowSocks of Tor als oplossing gebruiken.

Toen de onderzoekers hun bevindingen rapporteerden, bleek dat het probleem eerder was ontdekt in OpenVPN en CVE-nummer CVE-2021-3773 had gekregen. De impact van dit beveiligingslek is beoordeeld met een 9,8 op een schaal van 1 tot 10. Bovendien waren sommige VPN-services die OpenVPN en WireGuard gebruiken niet kwetsbaar voor CVE-2021-3773, waaronder NordVPN, ExpressVPN en Surfshark.