Sei un utente di OpenVPN? Il software patch quattro vulnerabilità proprio questa settimana. Uno dei difetti è abbastanza grave - l'esecuzione di codice remoto bug che potrebbe consentire a un utente malintenzionato autenticato di eseguire del codice su una scatola compromessa. La vulnerabilità è identificato come CVE-2017-7521.
CVE-2017-7521 Dettagli tecnici
La falla interessa lato server OpenVPN, e come spiegato da Guido Vranken, il difetto può causare “crash del server remoto / doppio libero / memoria perdite nel trattamento certificato”. In aggiunta:
CVE-2017-7521 può esaurire il server di memoria disponibile, che può portare a un ‘doppio gratis,’, Che è un modo di memoria del server corrotto. In breve, la peggiore delle ipotesi è che l'utente può eseguire il codice sul server. Questa è la vulnerabilità peggiore. Essi autenticare e poi inviare i dati artigianale, dopo di che i server si blocca. Direi che questo è un problema preoccupante per (commerciale) fornitori di VPN, così decisamente hanno bisogno di aggiornare quanto prima.
Gli altri difetti (CVE-2017-7520, CVE-2017-7522, CVE-2017-7508)
Le patch per tutti e quattro i difetti, CVE-2017-7521 inclusiva, sono stati emessi dopo che sono stati resi noti privatamente da Vranken che ha usato un fuzzer per trovare i bug.
Sono stati i difetti sfruttati in attacchi pubblici? Il ricercatore dice che non lo sa. “Questo è difficile per me dire. Ma direi che se posso fare questo in un paio di settimane di tempo libero per pura curiosità,, organizzazioni pesantemente finanziati con obiettivi politici puo 'farlo," Lui ha spiegato.
Tre dei difetti del ricercatore incontrato erano sul lato server causando server crash. La falla sul lato client consente agli hacker di rubare le password per ottenere l'accesso al proxy. I difetti lato server richiedono l'hacker deve essere autenticato.
Tutti i problemi di server richiedono che l'utente è autenticato. Ciò richiede che l'amministratore di sistema firma il certificato di un utente malintenzionato. Per gli utenti individuali che gestiscono il loro server privato questo è improbabile che si verifichi, ma è un male per i servizi VPN che hanno automatizzato il processo per un grande gruppo di (non attendibile) utenti.
È possibile visualizzare il report completo qui.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: