WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
OpenVPN cảnh báo lỗi CSRF trong Access Server Desktop Client
OpenVPN khuyến cáo người dùng Desktop Client nên nâng cấp phần mềm sớm nhất có thể để tránh bị tấn công qua lỗ hổng giả mạo yêu cầu liên trang (Cross-Site Request Forgency - CSRF) cho phép thực thi code từ xa.
Lỗ hổng nằm trong sản phẩm Desktop Client đã lỗi thời và cũng không còn được hỗ trợ bởi OpenVPN. Kẻ xấu có thể khai thác lỗ hổng này nếu người dùng cài phiên bản có lỗi truy cập đến site độc của hacker. Các nhà nghiên cứu tại SEC Consult, Áo đã phát hiện lỗi này và thông báo cho OpenVPN từ tháng 5.
Access Server Desktop Client gồm 2 thành phần, dịch vụ Windows cung cấp XML-RPC API qua một webserver trên localhost, và GUI (giao diện đồ họa) kết nối với API.
Thành phần XML-RPC API tồn tại lỗ hổng CSRF. Sử dụng lệnh API, hacker có thể nhận biết nạn nhân (ví dụ bằng cách ngắt kết nối với VPN đã được thiết lập), thực hiện tấn công MITM (thông qua kết nối nạn nhân tới máy chủ VPN giả), thực thi code tùy ý với quyền SYSTEM (bằng cách thêm VPN profile có thể thực thi code).
OpenVPN cung cấp nhiều dịch vụ VPN và bảo mật khác nhau, tuy nhiên nạn nhân bị ảnh hưởng bởi lỗ hổng này là các khách hàng sử dụng Access Server Desktop Client, một SSL VPN cho nhiều nền tảng khác nhau. Lỗ hổng này chỉ xuất hiện trong các phiên bản dành cho Windows.
“Tất cả các khách hàng Access Server sử dụng ứng dụng Desktop Client cho Windows nên ngay lập tức nâng cấp lên OpenVPN Connect client. Desktop Client đã lỗi thời và hiện không còn được duy trì và có sẵn để tải về nữa.”, OpenVPN khuyến cáo.
Access Server Desktop Client gồm 2 thành phần, dịch vụ Windows cung cấp XML-RPC API qua một webserver trên localhost, và GUI (giao diện đồ họa) kết nối với API.
Thành phần XML-RPC API tồn tại lỗ hổng CSRF. Sử dụng lệnh API, hacker có thể nhận biết nạn nhân (ví dụ bằng cách ngắt kết nối với VPN đã được thiết lập), thực hiện tấn công MITM (thông qua kết nối nạn nhân tới máy chủ VPN giả), thực thi code tùy ý với quyền SYSTEM (bằng cách thêm VPN profile có thể thực thi code).
OpenVPN cung cấp nhiều dịch vụ VPN và bảo mật khác nhau, tuy nhiên nạn nhân bị ảnh hưởng bởi lỗ hổng này là các khách hàng sử dụng Access Server Desktop Client, một SSL VPN cho nhiều nền tảng khác nhau. Lỗ hổng này chỉ xuất hiện trong các phiên bản dành cho Windows.
“Tất cả các khách hàng Access Server sử dụng ứng dụng Desktop Client cho Windows nên ngay lập tức nâng cấp lên OpenVPN Connect client. Desktop Client đã lỗi thời và hiện không còn được duy trì và có sẵn để tải về nữa.”, OpenVPN khuyến cáo.
Chỉnh sửa lần cuối bởi người điều hành: