Mit dem HPE Aruba Networking Virtual Intranet Access (VIA) Client unter iOS, Linux, macOS und Windows erstellte VPN-Verbindungen sind nicht sicher. Der Android-Client ist davon nicht betroffen. Für die anderen Systeme gibt es ein Sicherheitsupdate.
Tunnelvision-Schwachstelle
In einer Warnmeldung führen die Entwickler aus, dass der VIA-Client bis inklusive Version 4.7.0 verwundbar ist. Sie geben an, in der Ausgabe 4.7.2 zwei Sicherheitslücken (CVE-2024-3661 "hoch", CVE-2025-25041 "hoch") geschlossen zu haben.
Die erste Lücke ist unter dem Titel "Tunnelvision" schon seit 2024 bekannt. An dieser Stelle können entfernte Angreifer ohne Authentifizierung ansetzen und im Kontext des Netzwerkkonfigurationsservices des DHCP-Protokolls ansetzen, um VPN-Verbindungen aufzubrechen.
Nutzen Angreifer die zweite Schwachstelle erfolgreich aus, können sie DoS-Zustände erzeugen. Für beide Lücken gibt es den HPE-Entwicklern zufolge noch keine Hinweise auf Attacken.
(des)
English (US) ·