Oppdatering: Siden 24. oktober 2018 er våre manuelle konfigurasjonsservere ikke sårbare for VORACLE-utnyttelsen.
På en Black Hat Briefing i august 2018 avslørte forskeren Ahamed Nafeez en ny sårbarhet i OpenVPN-protokollen. Sårbarheten, kalt Voracle, påvirker alle TLS-tilkoblinger som bruker komprimering.
OpenVPN brukes av et bredt spekter av ledende VPN-tjenester for forbrukere. Nafeez var i stand til å utnytte en OpenVPN-tilkobling han opprettet selv, og surfet på et nettsted ved hjelp av Firefox, men han kunne ikke gjenskape effekten ved hjelp av Google Chrome.
ExpressVPN bruker hovedsakelig OpenVPN og IPsec-protokollene. I vårt tilfelle påvirket Voracle tilkoblinger konfigurert gjennom manuell konfigurasjon eller tilkoblinger etablert gjennom appene våre ved bruk av TCP OpenVPN. UDP OpenVPN-tilkoblinger, selv om appene ikke ble berørt.
Slik fungerer Voracle
Komprimering øker teoretisk lagrings- og båndbreddekapasitet ved å bytte ut hyppige mønstre med referanser, i likhet med hvordan å bytte ut ord med emojis gjør at mer informasjon kan passe inn i en tweet. Men i den daglige bruken gir komprimering når du bruker en VPN liten fordel.
Ved å injisere data i en ukryptert strøm, kan en angriper kunne lære om bestemt tekst er inkludert i den ikke-krypterte og komprimerte datastrømmen ved å observere endringer i lengden på den krypterte strømmen.
For pålitelig å lære om innholdet i tilkoblingen, trenger angriperen at brukeren gjentatte ganger skal be om det samme innholdet, slik at små varianter av angriperens testdata kan injiseres i brukerens strøm.
Disse dataene kan injiseres via forespørsler eller informasjonskapsler på tvers av domener, og angriperen kan deretter observere trafikk ved å kontrollere en nettverksbryter eller ruter. Hvis dataene allerede er kryptert før de går inn i VPN-tunnelen, kan ikke dette sikkerhetsproblemet utnyttes. En angriper vil ikke under noen omstendigheter kunne bruke dette mot HTTPS eller PGP / OTR-tilkoblinger.
Løsning: Deaktiver komprimering
For å avbøte mot Voracle, ExpressVPN har deaktivert komprimering på alle tilkoblinger som er laget av apper. Brukere trenger ikke å oppdatere appene sine.
Hvis du bruker en manuell konfigurasjonsfil fra før VORACLE-angrepet, kan du laste ned en ny konfigurasjonsfil, eller oppdatere filen slik at den inkluderer linjen “comp-lzo off”.
ExpressVPN anser utnyttelsen som alvorlig, men begrenset i applikasjonen, ettersom en angriper ikke bare trenger å kunne observere den krypterte trafikken, men også kunne injisere data i den ukrypterte datastrømmen. Når du bruker et nettsted eller en tjeneste der sensitive data er involvert, bør internettbrukere likevel bruke HTTPS for en-til-ende-kryptering.
ExpressVPN fikser “Voracle” komprimeringssårbarhet i apper
Oppdatering: Siden 24. oktober 2018 er våre manuelle konfigurasjonsservere ikke sårbare for VORACLE-utnyttelsen.
På en Black Hat Briefing i august 2018 avslørte forskeren Ahamed Nafeez en ny sårbarhet i OpenVPN-protokollen. Sårbarheten, kalt Voracle, påvirker alle TLS-tilkoblinger som bruker komprimering.
OpenVPN brukes av et bredt spekter av ledende VPN-tjenester for forbrukere. Nafeez var i stand til å utnytte en OpenVPN-tilkobling han opprettet selv, og surfet på et nettsted ved hjelp av Firefox, men han kunne ikke gjenskape effekten ved hjelp av Google Chrome.
ExpressVPN bruker hovedsakelig OpenVPN og IPsec-protokollene. I vårt tilfelle påvirket Voracle tilkoblinger konfigurert gjennom manuell konfigurasjon eller tilkoblinger etablert gjennom appene våre ved bruk av TCP OpenVPN. UDP OpenVPN-tilkoblinger, selv om appene ikke ble berørt.
Slik fungerer Voracle
Komprimering øker teoretisk lagrings- og båndbreddekapasitet ved å bytte ut hyppige mønstre med referanser, i likhet med hvordan å bytte ut ord med emojis gjør at mer informasjon kan passe inn i en tweet. Men i den daglige bruken gir komprimering når du bruker en VPN liten fordel.
Ved å injisere data i en ukryptert strøm, kan en angriper kunne lære om bestemt tekst er inkludert i den ikke-krypterte og komprimerte datastrømmen ved å observere endringer i lengden på den krypterte strømmen.
For pålitelig å lære om innholdet i tilkoblingen, trenger angriperen at brukeren gjentatte ganger skal be om det samme innholdet, slik at små varianter av angriperens testdata kan injiseres i brukerens strøm.
Disse dataene kan injiseres via forespørsler eller informasjonskapsler på tvers av domener, og angriperen kan deretter observere trafikk ved å kontrollere en nettverksbryter eller ruter. Hvis dataene allerede er kryptert før de går inn i VPN-tunnelen, kan ikke dette sikkerhetsproblemet utnyttes. En angriper vil ikke under noen omstendigheter kunne bruke dette mot HTTPS eller PGP / OTR-tilkoblinger.
Løsning: Deaktiver komprimering
For å avbøte mot Voracle, ExpressVPN har deaktivert komprimering på alle tilkoblinger som er laget av apper. Brukere trenger ikke å oppdatere appene sine.
Hvis du bruker en manuell konfigurasjonsfil fra før VORACLE-angrepet, kan du laste ned en ny konfigurasjonsfil, eller oppdatere filen slik at den inkluderer linjen “comp-lzo off”.
ExpressVPN anser utnyttelsen som alvorlig, men begrenset i applikasjonen, ettersom en angriper ikke bare trenger å kunne observere den krypterte trafikken, men også kunne injisere data i den ukrypterte datastrømmen. Når du bruker et nettsted eller en tjeneste der sensitive data er involvert, bør internettbrukere likevel bruke HTTPS for en-til-ende-kryptering.