Er du bruger af OpenVPN? Softwaren lappet fire sårbarheder netop i denne uge. En af fejlene er ganske alvorlig - en fjernkørsel af programkode bug, der kan gøre det muligt for en godkendt hacker at køre kode på en kompromitteret kasse. Sårbarheden er identificeret som CVE-2017-7521.
CVE-2017-7521 Tekniske Specifikationer
Fejlen påvirker OpenVPN server side, og som forklaret af Guido Vranken, fejlen kan forårsage ”ekstern server nedbrud / dobbelt-fri / memory leaks i certifikat behandling”. Desuden:
CVE-2017-7521 kan dræne server tilgængelige hukommelse, hvilket kan føre til en ’dobbelt-fri,’, Som er en måde at ødelægge serverens hukommelse. Kort, det værst tænkelige scenarie er, at brugeren kan udføre deres kode på serveren. Dette er den værste sårbarhed. De godkende og derefter sende udformet data, hvorefter serveren går ned. Jeg vil sige dette et bekymrende problem for (kommerciel) VPN-udbydere, så de helt sikkert brug for så hurtigt som muligt at opdatere.
De andre fejl (CVE-2017-7520, CVE-2017-7522, CVE-2017-7508)
Plastrene for alle fire fejl, CVE-2017-7521 inclusive, blev udstedt, efter at de blev fremlagt privat af Vranken der brugte en fuzzer at finde bugs.
Var fejlene udnyttes på offentlige angreb? Forskeren siger, at han ikke ved. ”Det er svært for mig at sige. Men jeg vil sige, at hvis jeg kan gøre dette i et par uger af fritid ud af ren og skær nysgerrighed, stærkt finansierede organisationer med politiske mål kan gøre det også,”Forklarede han.
Tre af fejlene forskeren kom på tværs var server-side forårsager servere til at gå ned. Den klientsiden fejl gør det muligt for hackere at stjæle passwords for at få adgang til proxy. De server-side fejl kræver hacker at blive bekræftet.
Alle server spørgsmål kræver, at brugeren er godkendt. Dette kræver, at systemadministratoren underskriver certifikatet for en ondsindet bruger. For individuelle brugere, der kører deres private server dette er usandsynlig, men det er dårligt for VPN-tjenester, der har automatiseret denne proces for en stor gruppe af (untrusted) brugere.
Du kan se den fulde rapport her.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: