Gremlin-Attacken auf SSL-VPNs
Die Gremlin-Attacke zeigt, dass Schwachstellen im Bereich des Tunneling-Protokolls von VPN zu wenig beachtet werden. Um sie abzuwehren, sollten Firmen eine Netzwerksegmentierung mit Bastion-Hosts und Zero-Trust-Architekturen einsetzen.
SSL-VPNs gehören zu den wichtigsten Werkzeugen, um sicheren Fernzugriff auf Unternehmensnetzwerke zu ermöglichen. Doch gerade diese oft als zuverlässig betrachtete Technologie kann gravierende Schwachstellen aufweisen, die Angreifern Tür und Tor öffnen. Die sogenannte VPN-Gremlin-Attacke, bei der es Hackern gelingt, sich als legitime Nutzer auszugeben, zeigt eindrücklich, wie wichtig es ist, auch vermeintlich sichere Systeme kritisch zu hinterfragen. Dabei ist wichtig zu verstehen, wie SSL-VPNs funktionieren und wie die Angreifer vorgehen.
Aufbau einer SSL-VPN-Verbindung
Die Sicherheitsforscher von TXOne Networks haben die Tunneling-Mechanismen von SSL-VPN detailliert untersucht, da diese Technologie häufig zu schwerwiegenden Fehlern führt. Die meisten dieser Fehler wurden jedoch bei HTTP-API-Anfragen entdeckt. Die Untersuchung zeigt, dass eine SSL-VPN-Verbindung aus drei Phasen bestehen sollte:
Authentifizierungsphase
Zero-Configuration-Phase
Tunneling-Phase
Die meisten SSL-VPNs sind Zero-Configuration-Protokolle, was zu ihrer Verbreitung beigetragen hat. Bei den meisten muss sich der Benutzer nur in der ersten Phase mit den entsprechenden Anmeldedaten beim Server authentifizieren. Wenn der Server die Anmeldedaten akzeptiert hat, sendet er Verbindungsinformationen zurück, einschließlich Routing-Tabellen, zugewiesene IP-Adressen und Cookies, die für die Authentifizierung in der dritten Phase (Tunneling) verwendet werden.
Der Client greift dann auf diese Informationen zurück, um eine Verbindung herzustellen, in der Regel durch den Aufbau eines Tunnels über das (D)-TLS-Protokoll. Durch den Aufbau dieses Tunnels können Client und Server IP-Pakete über ein unsicheres Netzwerk austauschen, das durch die Verschlüsselung und Authentifizierung des zugrunde liegenden TLS/SSL-Stacks geschützt ist.
Die meisten Fehler tauchten entweder in der ersten oder zweiten Stufe des Protokolls auf, das Tunneling-Protokoll selbst wurde kaum oder gar nicht untersucht. Diese Anbieter hat TXOne Networks getestet, verlinkt ist jeweils der Sicherheitshinweis:
Palo Alto Networks, CVE-2024-3388
Cisco, CVE-2023-20275
SonicWall, CVE-2023-41715
Fortinet, CVE-2023-45586
Ivanti (Pulse Secure), F5, nicht betroffen
Überprüfen von SSL-VPN-Tunneling-Protokollen
Um die Schwachstellen in verschiedenen SSL-VPN-Protokollen präzise zu analysieren, kam bewusst ein unkonventioneller Ansatz zum Einsatz. Mithilfe des Python-Tools Scapy wurden die Tunneling-Protokoll der Anbieter in einer Testumgebung implementiert. Dies kombinierten die Experten dann mit mitmproxy, um Datenpakete direkt in eine bestehende authentifizierte Verbindung einzuschleusen. So konnten die Sicherheitsexperten die ersten Authentifizierungsphasen umgehen und sich ausschließlich auf den Tunneling-Prozess konzentrieren, der oft den Kern der Schwachstellen bildet.
Da jeder Anbieter eigene Verkapselungsprotokolle innerhalb der (D)-TLS-Schicht nutzt, lag der Fokus auf dieser Schnittstelle. Die Protokoll-Implementierung stützte sich auf die Arbeit des Openconnect-Projekts, ergänzt durch Beobachtungen des Verhaltens legitimer Clients im Netzwerk. Mit diesem Ansatz ließ sich die Analyse deutlich vertiefen und kritische Sicherheitslücken offenlegen.
Der erste Versuch, Schwachstellen in einem proprietären VPN-Protokoll zu finden, verlief erfolglos. Es wurden zunächst die Daten überprüft, die innerhalb des verschlüsselten Tunnels ausgetauscht werden, und sich auf mögliche Fehler in diesem Kommunikationsprozess konzentriert. Dabei stellte sich heraus, dass die Protokolle TCP- oder UDP-Pakete verarbeiten, also die Daten in kleinere Pakete aufteilen und diese zwischen den beiden Enden des Netzwerks übertragen. Allerdings ergaben die Tests keine Hinweise auf Sicherheitsprobleme, die weitere Untersuchungen gerechtfertigt hätten.
Neue Erkenntnisse zeigten sich erst, als die Sicherheitsexperten ihre Strategie geändert und sich auf ein bestimmtes Element des grundlegenden Netzwerkprotokolls (auf ein Feld im IPv4-Header) konzentriert haben. Diese manuelle Untersuchung half dabei, potenzielle Schwachstellen zu identifizieren, die bei einer rein automatisierten Analyse unentdeckt geblieben wären.
Die Analyse offenbarte eine überraschende Schwachstelle in der Verarbeitung des Netzwerkverkehrs durch viele SSL-VPN-Produkte. Das Problem liegt in der Verkapselung und späteren Öffnung des Layer-4-Verkehrs innerhalb des VPN-Tunnels. Nach der Entschlüsselung der (D)-TLS-Schicht und des proprietären Protokolls versäumen es viele Anbieter, die Header-Informationen des Layer-4-Protokolls (zum Beispiel TCP oder UDP) gründlich zu validieren. Dadurch bleiben kritische Schwachstellen unentdeckt, die Angreifer ausnutzen können.
Dieses Verhalten zeigt, dass Sicherheitslücken gerne in weniger beachteten Details der Protokollverarbeitung verborgen liegen – ein Bereich, der besondere Aufmerksamkeit erfordert. Die Analyse zeigt, wie unterschiedlich ein VPN-Gremlin-Angriff ausfallen kann – jede Attacke ist einzigartig und abhängig von der Netzwerkarchitektur und den Schwachstellen.
Fall 1: Verwundbares Gerät in einem geschützten Netzwerk
In diesem Szenario zielt der Angriff auf isolierte Geräte in geschützten Netzwerken ab, die sich nicht einfach aktualisieren lassen. Der Angreifer nutzt die Schwachstelle aus, um sich als ein legitimer Client auszugeben und so auf sensible Geräte zuzugreifen. Dies kann besonders dann kritisch werden, wenn klassische Netzwerkstrukturen ohne strenge Segmentierung oder Zero-Trust-Modelle zum Einsatz kommen. Sogar Sicherheitsrichtlinien und isolierte Netzwerkbereiche können versagen, wenn ein vermeintlich legitimer Client in Wirklichkeit der Angreifer ist.
Fall 2: DNS-Spoofing oder -Hijacking innerhalb des VPN-Tunnels
Hier wird der Fokus auf DNS-Server verlagert, die sich im VPN-Tunnel befinden. Durch gezieltes DNS-Spoofing kann der Angreifer verschiedene Manipulationen vornehmen, die den Netzwerkverkehr umleiten oder DNS-Cache-Poisoning ermöglichen. Besonders gefährdet sind Architekturen, bei denen alle SSL-VPN-Clients denselben DNS-Server innerhalb des Tunnels nutzen müssen. Dieses Szenario zeigt, wie Angriffe auf höherer Netzwerkebene – etwa durch DNS-Manipulation – erhebliche Schäden verursachen können.
Fazit
Der VPN-Gremlin-Angriff zeigt, dass Schwachstellen im Bereich des Tunneling-Protokolls von VPN bislang kaum Beachtung finden. Obwohl der Angriff durch seine Spoofing-Natur in seiner Ausführung eingeschränkt ist, hat die Untersuchung zwei wesentliche Erkenntnisse hervorgebracht: Zum einen wurde wenig bis keine Forschung zur Angriffsfläche von VPN-Tunneln betrieben. Zum anderen sind Angriffe, die früher theoretisch betrachtet wurden, inzwischen in realen Szenarien möglich.
Der Angriff ist mit wenigen Befehlen durchführbar, was zeigt, wie einfach sich die Schwachstelle in die Praxis ausnutzen lässt. Organisationen müssen daher auf verstärkte Sicherheitsmaßnahmen setzen. Der VPN-Gremlin-Angriff untergräbt dabei eine grundlegende Annahme – nämlich, dass Router und Firewalls die Pakete stets korrekt weiterleiten und blockieren.
Um derartige Angriffe zu erschweren, sollten Unternehmen die Netzwerksegmentierungen mit Bastion-Hosts und Zero-Trust-Architekturen einsetzen. Diese erfordern unter anderem eine Authentifizierung vor dem Zugriff auf Netzwerksegmente und Geräte im Intranet, was es Hackern erheblich erschwert, VPN-basierte Angriffe erfolgreich durchzuführen.
Autor: Mirco Kloss, Business Development Director DACH bei TXOne Networks