Разработчики OpenVPN рекомендуют пользователям, которые используют клиент для рабочего стола, произвести немедленное обновление. Связано это с возможностью осуществления атаки типа CSRF, при помощи которой, злоумышленники могут получить удаленный доступ к компьютеру жертвы.
Австрийские исследователи безопасности обнаружили данную уязвимость еще в мае этого года. При использовании устаревшего программного обеспечения, посещая вредоносный сайт, пользователь рискует предоставить доступ к своему ПК.
OpenVPN Access Server состоит из двух частей:
1) Сервис, который предоставляет возможности взаимодействия между сервером и пользователем в виде XML-RPC.
2) Пользовательский интерфейс, который подключается к сервису через API.
XML-RPC API уязвимо к межсайтовой подделке запросов (CSRF). Использование некоторых API команд, позволяет злоумышленнику получить реальный IP-адрес жертвы, перенаправить трафик на собственные сервера (MITM атака), а также добиться выполнения произвольного кода с системными привилегиями на компьютере пользователя.
OpenVPN предоставляет несколько различных VPN и сервисов безопасности, но только десктопный клиент под Windows является уязвимым.
Все клиенты использующие приложение для рабочего стола на Windows должны сменить его на OpenVPN Connect.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий