OpenVPN Access Server Desktop Client уязвим

в 20:09, , рубрики: csrf, openvpn, информационная безопасность, уязвимость

image
Разработчики OpenVPN рекомендуют пользователям, которые используют клиент для рабочего стола, произвести немедленное обновление. Связано это с возможностью осуществления атаки типа CSRF, при помощи которой, злоумышленники могут получить удаленный доступ к компьютеру жертвы.

Австрийские исследователи безопасности обнаружили данную уязвимость еще в мае этого года. При использовании устаревшего программного обеспечения, посещая вредоносный сайт, пользователь рискует предоставить доступ к своему ПК.

OpenVPN Access Server состоит из двух частей:
1) Сервис, который предоставляет возможности взаимодействия между сервером и пользователем в виде XML-RPC.
2) Пользовательский интерфейс, который подключается к сервису через API.

XML-RPC API уязвимо к межсайтовой подделке запросов (CSRF). Использование некоторых API команд, позволяет злоумышленнику получить реальный IP-адрес жертвы, перенаправить трафик на собственные сервера (MITM атака), а также добиться выполнения произвольного кода с системными привилегиями на компьютере пользователя.
OpenVPN предоставляет несколько различных VPN и сервисов безопасности, но только десктопный клиент под Windows является уязвимым.

Все клиенты использующие приложение для рабочего стола на Windows должны сменить его на OpenVPN Connect.

Автор: akamajoris

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js