[English]Microsoft hat in den OpenVPN-Clients von Android, iOS, macOS, BSD und Windows eine Reihe Schwachstellen gefunden. Angreifer könnten einige der entdeckten Schwachstellen kombinierte, um eine remote ausnutzbare Angriffskette zu erhalten, die eine Remotecodeausführung (RCE) und lokaler Privilegienerweiterung (LPE) umfasst. Die Schwachstellen sollten durch Updates beseitigt werden, wobei man teilweise auf Firmware diverser Gerätehersteller angewiesen ist.
Anzeige
Was ist OpenVPN?
OpenVPN ist eine Open-Source-Entwicklung, um ein virtuelles privates Netzwerk (VPN) bereitzustellen, das eine private und sichere Punkt-zu-Punkt- oder Standort-zu-Standort-Verbindung zwischen Netzwerken herstellt. Das Open-Source-Projekt OpenVPN erfreut sich weltweit großer Beliebtheit, u. a. in den Vereinigten Staaten, Indien, Frankreich, Brasilien, Großbritannien und Deutschland sowie in Branchen wie Informationstechnologie, Finanzdienstleistungen, Telekommunikation und Computersoftware.
Dieses Projekt unterstützt verschiedene wichtige Plattformen und ist weltweit in Millionen von Geräten integriert. OpenVPN-Binärdateien, finden sich in Routern, Firmware, PCs, mobilen Geräten und vielen anderen intelligenten Geräten.
OpenVPN ist auch der Name des verwendeten Tunneling-Protokolls, das das Secure Socket Layer (SSL)-Verschlüsselungsprotokoll verwendet, um sicherzustellen, dass die über das Internet ausgetauschten Daten privat bleiben, indem eine AES-256-Verschlüsselung verwendet wird.
Was hat Microsoft gefunden?
Da der Quellcode für Audits verfügbar ist, können Schwachstellen leicht identifiziert und behoben werden. Ein Blog-Leser hat mich die Tage darauf hingewiesen (danke dafür), dass Microsoft sich dieses Sachverhalts angenommen und einige Schwachstellen in OpenVPN entdeckt hat. Es handelt sich um folgende Schwachstellen:
Anzeige
| CVE ID | OpenVPN component | Impact | Affected platform |
| CVE-2024-27459 | openvpnserv | Denial of service (DoS), local privilege escalation (LPE) | Windows |
| CVE-2024-24974 | openvpnserv | Unauthorized access | Windows |
| CVE-2024-27903 | openvpnserv | Remote code execution (RCE)
Local privilege escalation (LPE), data manipulation |
Windows
Android, iOS, macOS, BSD |
| CVE-2024-1305 | Windows TAP driver | Denial of service (DoS) | Windows |
Die entdeckten Schwachstellen betreffen alle Versionen von OpenVPN vor Version 2.6.10 (und 2.5.10), und könnten Endgeräte einem erheblichen Angriffsrisiko aussetzen. Die Details sind in den verlinkten CVEs nachzulesen. Nutzer von OpenVPN sollten also prüfen, ob ein Software-Update für das Paket – ggf. vom Hersteller eines Geräts oder Systems angeboten wird. Microsoft hat die Details seiner Untersuchungen zum 8. August 2024 in einem umfangreichen Artikel Chained for attack: OpenVPN vulnerabilities discovered leading to RCE and LPE veröffentlicht.
Anzeige
>>> in den OpenVPN-Clients von … BSD … eine Reihe Schwachstellen <<<
Welches BSD soll das sein? OpenBSD jedenfalls nicht! Überhaupt stellt sich angesichts (1), Abschnitt "Overview of changes in 2.6.10", Unterabschnitt "Security fixes" die Frage, wer ausser Windows Nutzern sonst noch patchen müsste.
(1) https://github.com/OpenVPN/openvpn/blob/v2.6.10/Changes.rst
Es betrifft alle Systeme, auf denen OpenVPN mit einer Versionsnummer kleiner 2.6.10 installiert ist.
In 2.6.10 wurden die Lücken geschlossen.
>>> Es betrifft alle Systeme, …<<<
Sehr witzig, ich brauche keinen Papageien, ich brauche Belege.
Ich lege nach: In obiger Tabelle sind 4 CVEs erwähnt, nur bei einem – CVE-2024-27903 – wird überhaupt BSD erwähnt. Folgt man dem Link, gelangt man nach (1). Dort ist aber nur von Windows die Rede, Zitat: "OpenVPN plug-ins on Windows with OpenVPN 2.6.9 and earlier …".
(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27903
Ich lege weiter nach: FreeBSD fährt schon seit Ende März 2024 die Version 2.6.10 und teilte über diese damals per (1) mit: "Note that the security-related fixes only pertain to the Windows operating system."
(1) https://cgit.freebsd.org/ports/commit/?id=c2fc14bde29013569a1589fddc22840cd0674f15
Nichts dagegen, dass man auf den Sachverhalt hinweist und Hintergründe dazu berichtet. Aber als "neu" würde ich die Lücken nach fünf Monaten jetzt nicht mehr wirklich bezeichnen ;) Das OpenVPN-Update, das die Lücken schließt, ist von März.
Es geht wohl eher darum wann die Info bekannt wurde.
Ich lese täglich diverse Security-Seiten mit und bekomme auch nicht immer mit welche Konsequenzen ein CVE hat.
Ansonsten gilt wie immer:
Einfach besser machen und den perfekten Info-Dienst mal eben fix aufbauen.
Gruß