ExpressVPN lost “Voracle” compressie kwetsbaarheid in apps op

Het ExpressVPN-logo in een stevige bankschroef, om onze stevige beveiliging te symboliseren. We zijn sterk, zoals beer.


Update: sinds 24 oktober 2018 zijn onze handmatige configuratieservers niet kwetsbaar voor de VORACLE-exploit.

Tijdens een Black Hat Briefing in augustus 2018 onthulde de onderzoeker Ahamed Nafeez een nieuwe kwetsbaarheid in het OpenVPN-protocol. Het beveiligingslek, genaamd Voracle, is van invloed op alle TLS-verbindingen die compressie gebruiken.

OpenVPN wordt gebruikt door een breed scala aan toonaangevende VPN-consumentendiensten. Nafeez was in staat om een ​​OpenVPN-verbinding te exploiteren die hij zelf had opgezet, door een site te browsen met Firefox, maar hij kon het effect niet repliceren met Google Chrome.

ExpressVPN gebruikt hoofdzakelijk de OpenVPN- en IPsec-protocollen. In ons geval had Voracle invloed op verbindingen die zijn ingesteld via handmatige configuratie of verbindingen die zijn gemaakt via onze apps met TCP OpenVPN. UDP OpenVPN-verbindingen, hoewel de apps niet werden beïnvloed.

Hoe Voracle werkt

Compressie verhoogt theoretisch de opslag- en bandbreedtecapaciteit door frequente patronen te vervangen door referenties, vergelijkbaar met het vervangen van woorden door emoji’s waardoor meer informatie in een tweet past. Maar bij dagelijks gebruik biedt compressie bij het gebruik van een VPN weinig voordelen.

Door gegevens in een niet-gecodeerde stream te injecteren, kan een aanvaller mogelijk leren of bepaalde tekst is opgenomen in de niet-gecodeerde en gecomprimeerde datastroom door veranderingen in de lengte van de gecodeerde stream te observeren.

Om op betrouwbare wijze meer te weten te komen over de inhoud van de verbinding, moet de aanvaller ervoor zorgen dat de gebruiker herhaaldelijk om dezelfde inhoud vraagt, waardoor kleine variaties van de testgegevens van de aanvaller in de stream van de gebruiker kunnen worden geïnjecteerd.

Deze gegevens kunnen worden geïnjecteerd via domeinoverschrijdende aanvragen of cookies en de aanvaller kan vervolgens verkeer observeren door een netwerkswitch of router te besturen. Als de gegevens al zijn gecodeerd voordat ze de VPN-tunnel binnenkomen, kan dit beveiligingslek niet worden misbruikt. Een aanvaller zou dit in geen geval kunnen gebruiken tegen HTTPS- of PGP / OTR-verbindingen.

Oplossing: schakel compressie uit

Om tegen Voracle te verzachten, ExpressVPN heeft compressie uitgeschakeld op alle verbindingen die door apps zijn gemaakt. Gebruikers hoeven hun apps niet bij te werken.

Als u een handmatig configuratiebestand van vóór de VORACLE-aanval gebruikt, download dan een nieuw configuratiebestand of werk uw bestand bij met de regel “comp-lzo off”.

ExpressVPN beschouwt de exploit als ernstig maar beperkt in toepassing, omdat een aanvaller niet alleen het gecodeerde verkeer moet kunnen observeren, maar ook gegevens in de niet-gecodeerde gegevensstroom moet kunnen injecteren. Toch moeten internetgebruikers bij het gebruik van een site of service waarbij gevoelige gegevens betrokken zijn HTTPS gebruiken voor end-to-end-codering.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map