Meine Ratschlag ist ja, auf VPN-Netzwerke von Drittanbietern wie ExpressVPN, CyberGhos etc. zu verzichten oder sehr genau zu schauen, was man da so tut, da es in der Vergangenheit immer mal wieder Sicherheitsprobleme gab. In ExpressVPN wurde kürzlich die Schwachstelle CVE-2024-25728 bekannt, die unter Windows DNS-Anfragen an den Betreiber dieses DNS-Diensts verrät. Das Ganze wurde in der Version 12.73.0 von ExpressVPN 12.73.0 gefixt.
Anzeige
Nachfolgender Tweet weist auf die Schwachstelle CVE-2024-25728 hin, die in ExpressVPN vor der Version 12.73.0 besteht.
ExpressVPN vor Version 12.73.0 sendet unter Windows, bei Verwendung von Split-Tunneling, DNS-Anfragen entsprechend der Windows-Konfiguration (z. B. an DNS-Server, die vom ISP des Benutzers betrieben werden, anstatt an die ExpressVPN-DNS-Server). Das kann es Angreifern ermöglichen, sensible Informationen über die von VPN-Benutzern besuchten Websites zu erhalten. Die Kollegen von Bleeping Computer haben das Thema in diesem Beitrag aufgegriffen und verweisen auf die ExpressVPN-Warnung After a tip, ExpressVPN acts swiftly to protect customers vom 8. Februar 2024.
Ist VPN das neue Flash?
Generell scheint mir das Thema VPN so etwas wie Adobe Flash in Bezug auf Schwachstellen und Einfallstor für Cyberangriffe zu sein. Kaum ein Tag, an dem nicht eine neue Schwachstelle in VPN-Produkten bekannt wird. Und viele Hacks der letzten Monate wurden über gehackte VPN-Zugänge durchgeführt. Nachfolgende Liste mit Links enthält die Auflistung einiger VPN-Grausamkeiten, die hier im Blog thematisiert wurden.
Anzeige
Bezüglich VPN-Anbieter für Privatnutzer, die "Privatsphäre versprechen" verweise ich einfach auf meinen Blog-Beitrag Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co., der einen Blick "hinter die Kulissen" wirft.
Ergänzung: Die Entwickler wollen das Problem gefixt haben. Die neuesten Windows-Versionen (Version 12.74.0 und Version 10.51.0) sind jetzt verfügbar. Split-Tunneling ist laut diesem Beitrag wieder verfügbar.
Ähnliche Artikel:
Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co.
21 Million VPN User Records durchgesickert; VPN am Ende?
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023)
SonicOS SSLVPN: Schwachstelle CVE-2023-1101 bei MFA – neue Firmware für Gen6-Firewalls (6.5.4.12-101n)
SonicWall-Warnung: SSLVPN SMA1000-Bugs sofort patchen
VPN-Anbieter wie NordVPN und TorGuard wurden gehackt
Social Engineering und VPN-Zugang
Sicherheitsforscher warnt: VPNs auf iOS sind nicht privat
Rauscht der Edge mit seiner VPN-Funktion in eine DSGVO-Problematik?
Edge 108.0.1462.54 und mehr VPN-Volumen (15 GB), IE wird am 14. Feb. 2023 deaktiviert
Linux: Die ungepatchte Mozilla VPN-Schwachstelle
Hacker posten Admin-Credentials eines VPN-Anbieters in Telegram-Gruppe
Anzeige
Was sind denn VPN von nicht-Drittanbietern in dem Kontext? Einen VPN-Server irgendwo anonym selbst zu betreiben, über den nur der eigene Verkehr läuft? ;)
Beispielsweise auf einem Windows Server den VPN-Serverdienst aktivieren und konfigurieren und dann unter Windows 10/11 VPN einrichten.
VPN geht mit Windows komplett ohne Drittanbieter und ohne Zusatztools.
…ist die Frage, ob das dann mehr Sicherheit mit sich bringt.
Kommt drauf an.
Aber man ist auf jeden Fall nicht von externen Diensten abhängig und hat die Sicherheit in eigener Hand.
Und ein Dienstleister ist für Hacker lohnender als einzelne Firmen.
Einen VPN Server (in dem Kontext des Artikel und des Anbieters) unter eigenem Namen ohne Mix zubetreiben, was ergibt _das_ genau für einen Sinn? Die Nutzer*innen streben doch eher danach ihre Verbindung zu verchleiern?
Das Netzwerksniffer den Datenverkehr nicht mitloggen können?
Das ist nämlich der eigentliche Zweck eines VPNs.
Die Datenübertragung findet in einem Tunnel statt, die Daten sind auf dem Übertragungsweg verschlüsselt.
Um Verbindungen zu verschleiern nutzt man einen Proxy.
VPN-Server von externen Anbietern sind beides: VPN-Server und Proxy.
In größeren Firmen ist es auch nicht unüblich, verschiedene Standorte per VPN miteinander zu verbinden.
Da braucht dann nichts verschleiert zu werden. Auch nicht, wenn man z.B. per VPN vom Homeoffice aufs Firmennetz zugreifen will.
Im Gegenteil wird ein vernünftig konfigurierter selbst gehosteter VPN-Server Verbindungen von unbekannten Clients und/oder IPs ablehnen.
Im Übrigen bringt auch die Fritzbox einen VPN-Server mit.
Den passenden Client kann man sich bei AVM herunterladen.
> Was sind denn VPN von nicht-Drittanbietern in dem Kontext?
Auf die Schnelle, ich muss zur Arbeit: S. https://www.ncsc.gov.uk/collection/device-security-guidance/infrastructure/virtual-private-networks, Abschnitt "Integrated vs third-party VPN clients".
Nein: Chrome, Edge und alles Zeugs von Adobe und WordPress Plugins/Themes sind das neue Flash :-)