Mehrere Protokolle betroffen: Schwachstellen in Tunneling-Protokollen entdeckt

Weitverbreitete Tunnel-Protokolle, die für sichere Datenübertragungen zwischen Netzwerken eingesetzt werden, weisen kritische Schwachstellen auf. Diese Sicherheitslücken betreffen insbesondere die Protokolle IP6IP6, GRE6, 4in6 und 6in4, die in vielen VPN-Systemen und anderen Netzwerkinfrastrukturen zum Einsatz kommen.

Das Kernproblem liegt laut dem Sicherheitsexperten Simon Migliano von Top10VPN in zwei Aspekten. So überprüfen die Protokolle die Identität der Absender nicht ausreichend, zudem werden die Daten ohne zusätzliche Sicherheitsmechanismen wie IPsec übertragen. Durch die entdeckten Schwachstellen seien mehrere Einfallstore für schädliche Aktivitäten denkbar. Genannt werden sogenannte "Einweg-Proxys", bei dem verwundbare Systeme als Zwischenstation für weitere Angriffe genutzt werden, sowie klassische DDoS-Angriffe.

"Ein Angreifer muss lediglich ein Paket senden, das eines der betroffenen Protokolle implementiert", wie Migliano weiter erklärt. Dabei wird ein raffinierter Trick angewandt: Der äußere Header des Pakets enthält die IP-Adresse des Angreifers als Quelle und die des verwundbaren Systems als Ziel. Der innere Header hingegen täuscht vor, vom vertrauenswürdigen System zu stammen. Auf diese Weise können Netzwerksicherheitsfilter umgangen werden.

Zur Erhöhung der Sicherheit werden Maßnahmen wie das Implementieren sicherer Protokolle empfohlen. Hierzu zählen etwa IPsec oder WireGuard. Netzwerkadministratoren sollen zudem Tunneling-Pakete nur von vertrauenswürdigen Quellen akzeptieren und bei Bedarf tiefgehende Paketinspektionen (Deep Packet Inspection) durchführen. Unverschlüsselte Pakete sollten hingegen generell blockiert werden.