Synology-Forum.nl

Algemeen => The lounge => Topic gestart door: Briolet op 06 december 2019, 18:18:48

Titel: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
Bericht door: Briolet op 06 december 2019, 18:18:48

Op security.nl  (https://www.security.nl/posting/634385/Vpn%27s+op+Linux%2C+macOS%2C+iOS+en+Android+kwetsbaar+voor+aanvallers) staat een melding dat er een methode (CVE-2019-14899 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14899)) ontdekt is om op TCP gebaseerde VPN verbindingen in te breken als je verbind via een kwaadaardige Wifi verbinding.

Het betreft o.a. OpenVPN, WireGuard en IKEv2/IPSec die draaien op diverse unix verwante OS'en. (Linux, FreeBSD, OpenBSD, macOS, iOS en Android)

L2TP en OpenVPN via UDP lijken dus niet betroffen.

Titel: Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
Bericht door: Pippin op 06 december 2019, 22:23:57

Het is eigenlijk een "bug" in de routing engine, daarom wordt er ook door kernel developers naar gekeken.

https://seclists.org/oss-sec/2019/q4/122

Citaat

**Possible Mitigations:

1. Turning reverse path filtering on

rp_filter voor alle en "all" interfaces op 1 zetten (via sysctl) probleem opgelost.
https://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

Veel distro's hebben dit reeds op 1 staan, heb geen toegang tot NAS op dit moment, weet dus niet of dit standaard op 1 staat.

Titel: Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
Bericht door: Briolet op 06 december 2019, 22:48:45

Bij de nas staat die op 0

Code: [Selecteer]

cat /proc/sys/net/ipv4/conf/default/rp_filter
0
Maar de nas gebruik je ook niet als vpn cliënt via vreemde wifi's, dus daar zal het niet zoveel uitmaken.

Titel: Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
Bericht door: Pippin op 06 december 2019, 23:15:39

Inderdaad.
Info van OpenVPN:
https://openvpn.net/no-flaws-found-in-openvpn-software/

Titel: Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
Bericht door: sciurius op 07 december 2019, 17:54:31

Het is mij niet duidelijk of het een client of server probleem is, dus of die rp_filter op de server of mijn client moet...

Titel: Re: Kwetsbaarheid in TCP gebaseerde VPN verbindingen
Bericht door: Briolet op 07 december 2019, 18:17:04

Het probleem zal op beide zitten, maar kan alleen uitgebuit worden als het apparaat op een kwaadaardige lan zit. Dat zat niet zo snel bij een nas het geval zijn. Wel bij een mobiel device dat met een verkeerde wifi hotspot verbind.

Zoals de link van MMD aangeeft, betreft het niet zozeer vpn zelf maar het tcp protocol zelf. Het gebruik van een vpn tunnel gold altijd als veilig bij verbinden met een kwaadaardige hotspot.  Bij een TLS verbinding was het altijd al standaard dat die simpel aan te vallen was via een mit aanval.