微软
微软资深安全研究人员Vladimir Tokarev 在上周四(8/8)举行的黑帽大会上,揭露了OpenVPN上的4个零时差漏洞,此一系列被Tokarev命名为OVPNX的漏洞可被串连以实现权限扩张或远端程式攻击,同一天微软亦于官方部落格公布更多细节。
OpenVPN为一虚拟私人网路(VPN)的开源专案,建立于2001年,它在路由或桥接的配置上,透过技术来建立安全的端对端连结,被广泛应用于各式作业系统上,从Windows、macOS、Android、iOS到BSD等,根据Enlyft的统计,全球约有6,000家企业使用OpenVPN,意谓著有数百或数千万台装置安装了OpenVPN。
OVPNX漏洞包括了存在于Windows TAP驱动程式的CVE-2024-1305,可形成服务阻断攻击,而CVE-2024-24974、CVE-2024-27459与CVE-2024-27903,则皆存在于负责管理OpenVPN服务进程的openvpnserv元件中,依序可造成未经授权的存取、服务阻断/权限扩张,以及远端程式攻击。
微软的威胁情报团队说明,他们一开始是要检查如何以开源的OpenVPN专案来强化企业的安全标准,当时也顺便检查了其它两个热门的VPN解决方案,却在这两个VPN上都发现了CVE-2024-1305漏洞,这使得他们开始把目标对准其它具备同样问题的驱动程式,并在发现OpenVPN也拥有同样漏洞之后,决定调查Windows系统上的OpenVPN架构与安全性,才进而找到其它3个漏洞。
骇客要利用OVPNX漏洞的首要之务是必须先取得OpenVPN凭证,不管是偷、盗或购买,在取得凭证后,骇客即可串连 CVE-2024-24974与CVE-2024-27903 来实现远端程式执行;或是结合CVE-2024-27459与CVE-2024-27903来扩张本地权限。Tokarev说,这类的攻击链可能令骇客得以完全掌控目标端点,进而造成资料外泄,系统遭到危害,或是未经授权的机密资讯存取等后果。
OpenVPN在今年3月收到微软的通知之后,当月即释出OpenVPN 2.5.10及2.6.10来修补相关的安全漏洞,现在的OpenVPN版本已进展到OpenVPN 2.5.11与OpenVPN 2.6.12 。