Kwetsbaarheid in VPN-protocols stelt identiteit bloot
Een kwetsbaarheid die werd onthuld in de protocols gebruikt door virtuele privé-netwerken (VPN), laat toe aan cybercriminelen om het echte IP-adres van hun slachtoffers te achterhalen.
De fout werd aan het licht gebracht door VPN-provider Perfect Privacy in een veiligheidsadvies. Het bedrijf stelt dat de kwetsbaarheid, “Port fail” gedoopt, VPN-providers treft die port forwarding aanbieden en geen bescherming hebben tegen deze specifieke exploit. Bovendien geldt de kwetsbaarheid potentieel voor alle VPN-protocols, waaronder IPSec, OpenVPn en PPTP, en alle besturingssystemen.
VPN’s maken het mogelijk voor gebruikers om een privéverbinding op te zetten om hun privacy te beschermen, en wordt onder andere gebruikt om geografische beperkingen te omzeilen die bij bepaalde content gelden, zoals het bekijken van video’s die niet in alle landen mogen afgespeeld worden. Omgekeerd biedt het gebruikers in regio’s waar sterke restricties gelden op internetgebruik ook een omweg om veilig te surfen.
Een veiligheidsdefect dat die IP-adressen potentieel te grabbel gooit, doet het nut van een VPN voor die laatste groep teniet. Perfect Privacy stelt wel dat er bepaalde voorwaarden voor de exploit vervuld moeten zijn. Aanvallers hebben onder andere een actief account bij de VPN-provider nodig en het VPN-exit-IP-adres van hun slachtoffer.
“Als een andere gebruiker (de aanvaller) port forwarding geactiveerd heeft op zijn account op dezelfde server, kan hij het IP-adres achterhalen van elke gebruiker op die server door hem met een truc een link te laten openen, die het verkeer wegleidt naar een poort onder zijn controle,” aldus Perfect Privacy.
