Auteur Topic: Kwetsbaarheid in TCP gebaseerde VPN verbindingen  (gelezen 980 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Kwetsbaarheid in TCP gebaseerde VPN verbindingen
« Gepost op: 06 december 2019, 18:18:48 »
Op security.nl staat een melding dat er een methode (CVE-2019-14899) ontdekt is om op TCP gebaseerde VPN verbindingen in te breken als je verbind via een kwaadaardige Wifi verbinding.

Het betreft o.a. OpenVPN, WireGuard en IKEv2/IPSec die draaien op diverse unix verwante OS'en. (Linux, FreeBSD, OpenBSD, macOS, iOS en Android)

L2TP en OpenVPN via UDP lijken dus niet betroffen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
« Reactie #1 Gepost op: 06 december 2019, 22:23:57 »
Het is eigenlijk een "bug" in de routing engine, daarom wordt er ook door kernel developers naar gekeken.

https://seclists.org/oss-sec/2019/q4/122
Citaat
**Possible Mitigations:

1. Turning reverse path filtering on

rp_filter voor alle en "all" interfaces op 1 zetten (via sysctl) probleem opgelost.
https://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

Veel distro's hebben dit reeds op 1 staan, heb geen toegang tot NAS op dit moment, weet dus niet of dit standaard op 1 staat.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
« Reactie #2 Gepost op: 06 december 2019, 22:48:45 »
Bij de nas staat die op 0

cat /proc/sys/net/ipv4/conf/default/rp_filter
0

Maar de nas gebruik je ook niet als vpn cliënt via vreemde wifi's, dus daar zal het niet zoveel uitmaken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
« Reactie #3 Gepost op: 06 december 2019, 23:15:39 »
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 37
  • Berichten: 411
  • Arms are made for hugging
Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
« Reactie #4 Gepost op: 07 december 2019, 17:54:31 »
Het is mij niet duidelijk of het een client of server probleem is, dus of die rp_filter op de server of mijn client moet...
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
« Reactie #5 Gepost op: 07 december 2019, 18:17:04 »
Het probleem zal op beide zitten, maar kan alleen uitgebuit worden als het apparaat op een kwaadaardige lan zit. Dat zat niet zo snel bij een nas het geval zijn. Wel bij een mobiel device dat met een verkeerde wifi hotspot verbind.

Zoals de link van MMD aangeeft, betreft het niet zozeer vpn zelf maar het tcp protocol zelf. Het gebruik van een vpn tunnel gold altijd als veilig bij verbinden met een kwaadaardige hotspot.  Bij een TLS verbinding was het altijd al standaard dat die simpel aan te vallen was via een mit aanval.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

Synology verhelpt kwetsbaarheid in DiskStation Manager

Gestart door Synology Official TeamBoard Synology DSM algemeen

Reacties: 0
Gelezen: 1724
Laatste bericht 20 februari 2014, 16:18:17
door Synology Official Team
Synology waarschuwt voor kwetsbaarheid in VPN-software van routers

Gestart door webkabouterBoard Synology Router

Reacties: 5
Gelezen: 606
Laatste bericht 17 mei 2023, 17:12:22
door D4nny
Log4j kwetsbaarheid

Gestart door BrioletBoard The lounge

Reacties: 7
Gelezen: 1240
Laatste bericht 27 december 2021, 15:36:21
door André PE1PQX
Bash kwetsbaarheid laat aanvaller code uitvoeren op Linux en Osx

Gestart door TienBoard Synology DSM algemeen

Reacties: 1
Gelezen: 1329
Laatste bericht 25 september 2014, 22:59:52
door Handige Harry
Ernstige kwetsbaarheid treft routers van verschillende merken

Gestart door BabyloniaBoard Netwerk algemeen

Reacties: 0
Gelezen: 432
Laatste bericht 24 augustus 2022, 12:33:45
door Babylonia