Компания Microsoft сообщил о серьезных угрозах для пользователей OpenVPN, популярном протоколе VPN с открытым исходным кодом, которая интегрирована в миллионы маршрутизаторов, прошивок, ПК, мобильных устройств и других смарт-гаджетов.
В своем отчете о безопасности Microsoft подчеркнула наличие ряда уязвимостей в OpenVPN, которые могут быть использованы злоумышленниками для создания цепочки атак, включающей удаленное выполнение кода (RCE) и повышение привилегий на локальном уровне (LPE). Этот отчет был подготовлен после обсуждения ряда новых уязвимостей OpenVPN на конференции Black Hat USA 2024.
Впервые о данных уязвимостях Microsoft сообщила в OpenVPN в марте 2024 года через координированное раскрытие уязвимостей (CVD) с помощью команды Microsoft Security Vulnerability Research (MSVR). В результате совместной работы Microsoft и OpenVPN, в июле 2024 года были выпущены исправления в обновлении OpenVPN 2.6.10.
Среди выявленных уязвимостей:
- CVE-2024-27459: Уязвимость в компоненте openvpnserv, приводящая к возможной атаке типа отказа в обслуживании (DoS) и повышению привилегий на Windows.
- CVE-2024-24974: Уязвимость в openvpnserv, позволяющая несанкционированный доступ к системе на Windows.
- CVE-2024-27903: Уязвимость, приводящая к удаленному выполнению кода (RCE) на Windows и повышению привилегий или манипуляциям с данными на Android, iOS, macOS и BSD.
- CVE-2024-1305: Уязвимость в драйвере TAP для Windows, которая может вызвать отказ в обслуживании на Windows.
Все эти уязвимости могут быть использованы злоумышленниками после получения доступа к учетным данным пользователя OpenVPN, что возможно с помощью таких методов, как покупка украденных данных в даркнете, использование вредоносного ПО для кражи информации или перехват сетевого трафика для захвата NTLMv2-хэшей с последующим их расшифрованием.
Важно отметить, что все выявленные уязвимости относятся к клиентской стороне. vpnРоссия поясняет, что серверная сторона OpenVPN остается безопасной и уязвимостей на этом уровне обнаружено не было.
vpnРоссия
Microsoft настоятельно рекомендует организациям, использующим OpenVPN, проверить версии своего ПО и незамедлительно установить необходимые обновления. Также важно уделять внимание управлению учетными данными и ограничению доступа к VPN-сервисам для снижения потенциальных рисков.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.