Den sjätte maj publicerade Leviathan Security ett blogginlägg om en VPN-baserad sårbarhet som de har valt att kalla TunnelVision. Denna sårbarhet tycks påverka all routing-baserad VPN-teknik och kan användas av illvilliga aktörer mot användare på ett lokalt nätverk för att avlyssna deras VPN-trafik okrypterat. Syftet med studien är att utvärdera hotet som TunnelVision utgör mot kommersiella VPN-tjänster. 19 olika VPN-tjänster har testats, och en simulerad TunnelVision-attack har genomförts mot dessa tjänster. Resultaten visar att ingen av tjänsterna är helt säker mot TunnelVision, och nära hälften av de testade tjänsterna är helt sårbara. Utöver detta har VPN-tjänsteleverantöres respons på TunnelVision uppmärksammats. Endast en fjärdedel av de utvärderade tjänsteleverantörer informerar om sårbarheten. I diskussionen redogörs olika säkerhetsåtgärder emot TunnelVision som förhindrar att en sådan attack kan utföras. Slutsatsen är att TunnelVision är en sårbarhet som påverkar all routing-baserad VPN-teknik, men det påverkar inte alla VPN-tjänster likvärdigt.
On the sixth of May, Leviathan Security published a blog post about a VPN-based vulnerability which they have choosen to call TunnelVision. This vulnerability seemingly affects all VPN-technology and can be used by malicious actors against users on a local network to snoop on their VPN-traffic unencrypted. The purpose of this study is to evaluate the threat that TunnelVision poses to commercial VPN services. 19 different VPN services have been tested, and a simulated TunnelVision attack has been conducted against these services. The results show that none of the services are completely secure against TunnelVision, and nearly half of the tested services are completely vulnerable. In addition, VPN service providers’ response to TunnelVision has been noted. Only a quarter of the evaluated service providers inform about the vulnerability. The discussion describes various security measures against TunnelVision that prevent such an attack from being carried out. The conclusion is that TunnelVision is a vulnerability that affects all routing-based VPN technologies, but it does not affect all VPN services equally.