Linux-Schwachstelle CVE-2019-14899 gefährdet OpenVPN, WireGuard und IKEv2/IPSec

Sicherheitsforscher haben in Linux eine Schwachstelle (CVE-2019-14899) aufgedeckt, welche die Sicherheit von OpenVPN, WireGuard und IKEv2/IPSec gefährdet. Aktuell wird noch getestet, ob Tor auch betroffen ist.


Anzeige

Ich bin über den nachfolgenden Tweet von Bleeping Computer auf das Thema aufmerksam geworden.

Sicherheitsforscher haben eine neue Schwachstelle in Linux öffentlich gemacht, die es potenziellen Angreifern ermöglicht, VPN-Verbindungen auf betroffenen Geräten zu kapern und beliebige Daten-Nutzlasten in IPv4 und IPv6 TCP-Streams einzufügen. Die Schwachstelle hat die CVE-Kennzeichnung CVE-2019-14899, wobei in der betreffenden Datenbank keine Details genannt werden. Ein paar Informationen haben die Entdecker hier veröffentlicht.

Es sind quasi alle Linux-Distributionen sowie BSD von der Schwachstelle CVE-2019-14899 betroffen. Die meisten der von den Sicherheitsforschern getesteten Linux-Distributionen waren anfällig, insbesondere die folgenden Linux-Distributionen, die eine Version von systemd verwenden, die nach dem 28. November des letzten Jahres gezogen wurde. Zudem wurde haben kürzlich entdeckt, dass der Angriff auch gegen IPv6 funktioniert. Bleeping Computer hat nachfolgend einige betroffene Systeme aufgeführt.

Weiterhin sind faktisch alle VPN-Produkte seit Entdeckung der Schwachstelle nicht mehr sicher. Diese Sicherheitslücke “erlaubt es einem Angreifer, festzustellen, ob ein anderer Benutzer mit einem VPN verbunden ist, die virtuelle IP-Adresse, die ihm vom VPN-Server zugewiesen wurde, zu ermitteln und festzustellen, ob eine aktive Verbindung zu einer bestimmten Website besteht oder nicht”, schreiben William J. Tolley, Beau Kujath, und Jedidiah R. Crandall, Breakpointing Bad Sicherheitsforscher der University of New Mexico.

Ein Fix gegen die Schwachstelle ist wohl möglich. Details lassen sich im Beitrag der Sicherheitsforscher oder dem Artikel von Bleeping Computer entnehmen.


Anzeige
Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Linux-Schwachstelle CVE-2019-14899 gefährdet OpenVPN, WireGuard und IKEv2/IPSec


  1. Anzeige
  2. 1ST1 sagt:

    Wenn ich es richtig verstehe, lässt sich dieser Angriff erst ausnutzen, wenn die VPN-Verbindung vom Angreifer bereits aufgebaut ist?

  3. Robert Richter sagt:

    Wenn ich es richtig verstehe, wurde ein AccessPoint benutzt (der unter Kontrolle des Angreifers stand), um die Verbindung des Clients zum Server aufzubrechen – ist dies korrekt?

    Und interessant ist auch:
    This attack did not work against any Linux distribution we tested until
    the release of Ubuntu 19.10, and we noticed that the rp_filter settings
    were set to “loose” mode. We see that the default settings in
    sysctl.d/50-default.conf in the systemd repository were changed from
    “strict” to “loose” mode on November 28, 2018, so distributions using a
    version of systemd without modified configurations after this date are
    now vulnerable. Most Linux distributions we tested which use other init
    systems leave the value as 0, the default for the Linux kernel.

    Heisst dies, dass Ubuntus < 19.10 unaffected sind?

    https://seclists.org/oss-sec/2019/q4/122

    There are 4 components to the reproduction:

    1. The Victim Device (connected to AP, 192.168.12.x, 10.8.0.8)
    2. AP (controlled by attacker, 192.168.12.1)
    3. VPN Server (not controlled by attacker, 10.8.0.1)
    4. A Web Server (not controlled by the attacker, public IP in a real-
    world scenario)

    The victim device connects to the access point, which for most of our
    testing was a laptop running create_ap. The victim device then
    establishes a connection with their VPN provider.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.