Af Eskil Sørensen, 12/08/24
Microsoft har offentliggjort en række sårbarheder som påvirker OpenVPN. Ifølge Microsoft er der tale om en række af sårbarheder, som, hvis kædet sammen i et angreb, kan gøre det muligt for en angriber at uafvikle kode fra ”remote” og opnå ”local privilege escalation” på ramte systemer.
Det skriver The Hacker News.
Udnyttelsen blev præsenteret af Black Hat USA 2024. Den kræver brugergodkendelse og ifølge The Hacker News en avanceret forståelse af OpenVPN's ”indre funktion” for at kunne udnyttes.
Der er identificeret fire sårbarheder med CVSS-scorer fra 7,5 til 9,8.
- CVE-2024-27459 CVSS 7.8
- CVE-2024-24974 CVSS 7.5
- CVE-2024-27903, CVSS 9.8
- CVE-2024-1305 CVSS (9.8 Ifølge CISA-ADP)
De berørte versioner af OpenVPN er før 2.6.10 og før 2.5.10
De anbefales at opdatere enheder, der anvender OpenVPN til den nyeste version.
Links:
https://thehackernews.com/2024/08/microsoft-reveals-four-openvpn-flaws.html