IT-beveiligingsconsultant Noel Kuntze meldt meer details over de kwetsbaarheid op seclists.org. Een aanvaller kan met de methode een netwerk aftasten om te zien of een gebruiker met VPN verbindt, het virtuele IP-adres van deze persoon achterhalen en of er een actieve verbinding is naar een specifieke website. Een aanvaller zou vervolgens packets kunnen injecteren in de TCP-verbinding om de verbinding te kapen.

De kwetsbaarheid is enkel van toepassing op VPN-oplossing die een routeringstabel gebruiken om te kijken of IP-verbindingen via de VPN gestuurd worden. Een policy-based VPN, waarbij normale routering wordt gepasseerd en een policy bepaalt of verkeer via de tunnel wordt verstuurd, is niet kwetsbaar.

Verdere details over hoe dit proces werkt en de precieze impact wil de onderzoeker niet delen tot het issue is opgelost. Diverse Linux-distributies zijn kwetsbaar voor het gat. De onderzoeker heeft dit bevestigd op onder meer Ubuntu, Debian, Fedora en Arch. Ook Android, macOS, OpenBSD en FreeBSD zijn vatbaar voor deze vorm van VPN-kaping.

Het issue is gedetailleerd gemeld bij Systemd, Google, Apple, OpenVPN en WireGuard, zo laten de onderzoekers weten. Er is een onderzoekspublicatie met details over de kwetsbaarheid geschreven, maar die wordt pas gepubliceerd als er een goede oplossing beschikbaar is.