Gravi vulnerabilità su OpenVPN

PROTO: N240404

CERT-Yoroi informa che sono state rese note gravi vulnerabilità sul Client di OpenVPN che consentono agli aggressori di effettuare privilege escalation, codice da remoto arbitrario e causare arresti anomali del sistema.

OpenVPN è una tecnologia open-source che offre una soluzione per la creazione di VPN. Esso può essere utilizzato per creare connessioni sicure punto-punto o per consentire l'accesso remoto sicuro alle risorse di rete.

Nello specifico, all’interno del security advisory pubblicato dal vendor, vengono elencate le vulnerabilità che si strutturano nel seguente modo: 

• CVE-2024-27459: Tale vulnerabilità è causata da un'errata gestione del processo della memoria del processo di OpenVPN, il quale contente a un attaccante locale di elevare i propri privilegi, forzando degli input preconfezioni all'applicativo;
• CVE-2024-24974: L’implementazione Windows di OpenVPN consente l’accesso remoto ai servizi pipe, creando una potenziale falla di sicurezza. Questo significa che un utente malintenzionato con credenziali compromesse potrebbe sfruttare la connessione remota tramite OpenVPN sul sistema target per avviare ulteriori attacchi, mettendo a rischio la sicurezza del sistema e dei dati;
• CVE-2024-27903: Tale falla potrebbe consentire il caricamento di plugin da posizioni non attendibili, dando a un utente malintenzionato la possibilità di caricare plugin dannosi nel processo openvpn.exe, mettendo a rischio l'integrità e la sicurezza del software stesso;
• CVE-2024-1305: Vulnerabilità di tipo “integer overflow” che affligge il TAP driver Windows utilizzato da OpenVPN per connettersi ai server. Tale falla si verifica quando un valore intero viene incrementato a un valore troppo grande per essere archiviato nella rappresentazione associata.

Ad oggi non sono stati registrati tentativi di exploit in the wild di tali vulnerabilità da attori malevoli e non emergono evidenze di POC disponibili online.

OpenVPN ha risolto le vulnerabilità che affliggono il software in ambiente Windows con la release 2.6.10 rilasciata il 20 marzo, la quale può essere scaricata tramite il portale ufficiale di download del vendor. 

Di seguito le fix della release 2.6.10 di OpenVPN:

• Protezione da Stack Overflow: OpenVPN ora termina la connessione se viene ricevuto un messaggio eccessivamente grande, prevenendo l’exploit di stack overflow;
• Restrizione dell’accesso remoto: l’accesso remoto al servizio pipe è stato bloccato, riducendo le opportunità di attacco;
• Restrizioni al caricamento dei plugin: I plugin ora possono essere caricati solo dalla directory di installazione di OpenVPN, dalla directory di sistema di Windows e possibilmente da una directory specificata da "HKLM\SOFTWARE\OpenVPN\plugin_dir”, impedendo il caricamento di codice non autorizzato;
• TAP Driver Overflow Fix: la vulnerabilità di tipo “Integer Overflow” è stata corretta, impedendo gli arresti anomali.

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.   

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index   

Riferimenti Esterni  

• https://openvpn.net/community-downloads
• https://securityonline.info/openvpn-patches-serious-vulnerabilities-in-windows-installations/?expand_article=1