ExpressVPN korjaa “Voracle” -pakkauksen haavoittuvuuden sovelluksissa
Päivitys: 24. lokakuuta 2018 lähtien manuaaliset konfigurointipalvelimet eivät ole alttiita VORACLE-hyväksikäytölle.
Black Hat -tapaamisessa elokuussa 2018 tutkija Ahamed Nafeez paljasti uuden haavoittuvuuden OpenVPN-protokollassa. Haavoittuvuus, nimeltään Voracle, vaikuttaa kaikkiin TLS-yhteyksiin, jotka käyttävät pakkausta.
OpenVPN: ää käyttää laaja valikoima johtavia kuluttaja-VPN-palveluita. Nafeez pystyi hyödyntämään itse perustamansa OpenVPN-yhteyttä selaamalla sivustoa Firefoxilla, mutta hän ei pystynyt jäljittelemään vaikutusta Google Chromen avulla.
ExpressVPN käyttää pääasiassa OpenVPN- ja IPsec-protokollia. Meidän tapauksessamme Voracle vaikutti yhteyksiin, jotka on luotu manuaalisesti tai yhteyksillä, jotka on luotu sovelluksemme kautta TCP OpenVPN -sovelluksella. UDP OpenVPN -yhteydet eivät vaikuttaneet sovelluksiin.
Kuinka Voracle toimii
Pakkaaminen teoreettisesti lisää tallennustilaa ja kaistanleveyttä korvaamalla usein olevat kuviot viittauksilla, samoin kuin kuinka sanojen korvaaminen hymiöillä antaa lisätietoja mahtuu twiittiin. Mutta päivittäisessä käytössä VPN: n käytön kompressoinnista on vähän hyötyä.
Injektoimalla tietoja salaamattomaan virtaan, hyökkääjä voi ehkä oppia, sisältyykö tietty teksti salaamattomaan ja pakattuun tietovirtaan tarkkailemalla salatun virran pituuden muutoksia.
Yhteyden sisällön luotettavan oppimiseen hyökkääjän tulee tarvita käyttäjän toistuvasti pyytämään samaa sisältöä sallien hyökkääjän testitietojen pieniä variaatioita, joita voidaan lisätä käyttäjän streamiin..
Tiedot voidaan syöttää verkkotunnusten välisten pyyntöjen tai evästeiden avulla, ja hyökkääjä voi sitten tarkkailla liikennettä hallitsemalla verkkokytkintä tai reititintä. Jos tietoja on jo salattu ennen niiden saapumista VPN-tunneliin, tätä haavoittuvuutta ei voida hyödyntää. Hyökkääjä ei missään tapauksessa pysty käyttämään tätä HTTPS- tai PGP / OTR-yhteyksiä vastaan.
Ratkaisu: Poista pakkaus käytöstä
Lieventää vastaan Voracle, ExpressVPN on poistanut pakkauksen käytöstä kaikissa sovellusten tekemissä yhteyksissä. Käyttäjien ei tarvitse päivittää sovelluksiaan.
Jos käytät manuaalista määritystiedostoa ennen VORACLE-hyökkäystä, lataa uusi asetustiedosto tai päivitä tiedosto niin, että siihen sisältyy rivi “comp-lzo pois”.
ExpressVPN: n mielestä hyväksikäyttö on vakavaa, mutta sen käyttö on rajoitettua, koska hyökkääjän ei tarvitse vain pystyä tarkkailemaan salattua liikennettä, vaan myös kyetämään syöttämään tietoja salaamattomaan tietovirtaan. Silti käyttäessäsi sivustoa tai palvelua, jossa on mukana arkaluonteisia tietoja, Internet-käyttäjien tulisi käyttää HTTPS-protokollaa päästä päähän -salaukseen.
ExpressVPN korjaa “Voracle” -pakkauksen haavoittuvuuden sovelluksissa
Päivitys: 24. lokakuuta 2018 lähtien manuaaliset konfigurointipalvelimet eivät ole alttiita VORACLE-hyväksikäytölle.
Black Hat -tapaamisessa elokuussa 2018 tutkija Ahamed Nafeez paljasti uuden haavoittuvuuden OpenVPN-protokollassa. Haavoittuvuus, nimeltään Voracle, vaikuttaa kaikkiin TLS-yhteyksiin, jotka käyttävät pakkausta.
OpenVPN: ää käyttää laaja valikoima johtavia kuluttaja-VPN-palveluita. Nafeez pystyi hyödyntämään itse perustamansa OpenVPN-yhteyttä selaamalla sivustoa Firefoxilla, mutta hän ei pystynyt jäljittelemään vaikutusta Google Chromen avulla.
ExpressVPN käyttää pääasiassa OpenVPN- ja IPsec-protokollia. Meidän tapauksessamme Voracle vaikutti yhteyksiin, jotka on luotu manuaalisesti tai yhteyksillä, jotka on luotu sovelluksemme kautta TCP OpenVPN -sovelluksella. UDP OpenVPN -yhteydet eivät vaikuttaneet sovelluksiin.
Kuinka Voracle toimii
Pakkaaminen teoreettisesti lisää tallennustilaa ja kaistanleveyttä korvaamalla usein olevat kuviot viittauksilla, samoin kuin kuinka sanojen korvaaminen hymiöillä antaa lisätietoja mahtuu twiittiin. Mutta päivittäisessä käytössä VPN: n käytön kompressoinnista on vähän hyötyä.
Injektoimalla tietoja salaamattomaan virtaan, hyökkääjä voi ehkä oppia, sisältyykö tietty teksti salaamattomaan ja pakattuun tietovirtaan tarkkailemalla salatun virran pituuden muutoksia.
Yhteyden sisällön luotettavan oppimiseen hyökkääjän tulee tarvita käyttäjän toistuvasti pyytämään samaa sisältöä sallien hyökkääjän testitietojen pieniä variaatioita, joita voidaan lisätä käyttäjän streamiin..
Tiedot voidaan syöttää verkkotunnusten välisten pyyntöjen tai evästeiden avulla, ja hyökkääjä voi sitten tarkkailla liikennettä hallitsemalla verkkokytkintä tai reititintä. Jos tietoja on jo salattu ennen niiden saapumista VPN-tunneliin, tätä haavoittuvuutta ei voida hyödyntää. Hyökkääjä ei missään tapauksessa pysty käyttämään tätä HTTPS- tai PGP / OTR-yhteyksiä vastaan.
Ratkaisu: Poista pakkaus käytöstä
Lieventää vastaan Voracle, ExpressVPN on poistanut pakkauksen käytöstä kaikissa sovellusten tekemissä yhteyksissä. Käyttäjien ei tarvitse päivittää sovelluksiaan.
Jos käytät manuaalista määritystiedostoa ennen VORACLE-hyökkäystä, lataa uusi asetustiedosto tai päivitä tiedosto niin, että siihen sisältyy rivi “comp-lzo pois”.
ExpressVPN: n mielestä hyväksikäyttö on vakavaa, mutta sen käyttö on rajoitettua, koska hyökkääjän ei tarvitse vain pystyä tarkkailemaan salattua liikennettä, vaan myös kyetämään syöttämään tietoja salaamattomaan tietovirtaan. Silti käyttäessäsi sivustoa tai palvelua, jossa on mukana arkaluonteisia tietoja, Internet-käyttäjien tulisi käyttää HTTPS-protokollaa päästä päähän -salaukseen.