CVE-2023-46850: OpenVPN Access Server Flaw Exposes Sensitive Data, RCE Possible
2023/11/12 SecurityOnline — OpenVPN Access Server に存在する2件の脆弱性にパッチが適用されたが、この脆弱性が攻撃者に悪用されると、機密情報への不正アクセスが生じる恐れがあるという。脆弱性 CVE-2023-46849/CVE-2023-46850 は、OpenVPN Access Server のバージョン 2.11.0/2.11.1/2.11.2/2.11.3/2.12.0/2.12.1 に影響を及ぼすものだ。一連のバージョンは、OpenVPN 2.6 を継承しており、そこで2つの脆弱性が発見された。
CVE-2023-46849: ゼロ除算によるクラッシュ
1つ目の脆弱性 CVE-2023-46849 は、OpenVPN Access Server が -fragment オプションを有効にしている場合に発生する可能性があり、ゼロ除算によるクラッシュにいたる。この設定はデフォルトのセットアップには含まれていないが、一部のユーザー間では、明示的に有効化されている可能性がある。この脆弱性が悪用されると、OpenVPN Access Server がクラッシュし、VPN 接続が中断され、機密データが漏洩する可能性があるかもしれない。
CVE-2023-46850: メモリ使用後解放のセキュリティ問題
2つ目の脆弱性 CVE-2023-46850 は、より深刻なメモリ使用後解放のセキュリティ問題であり、OpenVPN Access Server のメモリから機密情報が漏えいする可能性がある。極端なケースでは、この脆弱性はリモートコード実行につながる可能性もあり、攻撃者は影響を受けるサーバを制御できるようになる。
セキュリティ・アドバイザリには、「v2.6.0〜v.2.6.6 を含む OpenVPN 2.6 では、free() された後の送信バッファが不正に使用される可能性と、 free() されたメモリの一部が相手に送信されてしまう可能性がある。TLS を使用する全ての設定 (例えば -secret を使用しない) が、この問題の影響を受ける」と記されている。
OpenVPN Access Server 2.12.2 への即時アップグレード
これらの重大な脆弱性を軽減するために、OpenVPN Access Server のバージョン 2.12.2 がリリースされた。OpenVPN Access Server バージョン 2.11.0/2.11.1/2.11.2/2.11.3/2.12.0/2.12.1 の全てのユーザーに推奨されるのは、潜在的な悪用からシステムを保護するために、直ちにバージョン 2.12.2 にアップグレードすることだ。
VPNセキュリティの保護
OpenVPN Access Server を最新バージョンにアップグレードすることに加えて、VPN インフラを保護するための、追加のセキュリティ対策を実施することが極めて重要だ:
- ソフトウェアの定期的なアップデート: VPNソフトウェアとオペレーティング・システムを最新のセキュリティ・パッチで更新する。
- 強固なパスワードの強制:すべての VPN ユーザーに対して、パスワードの長さと複雑さの要件/パスワードの定期的な変更などの、強固なパスワードポリシーを実施する。
- 二要素認証: 二要素認証 (2FA) を導入し、VPN アクセス時のセキュリティを強化する。
- VPNアクセスの制限: VPN アクセスを許可されるユーザーとデバイスに制限し、本当に必要な人だけにアクセスを制限する。
- ネットワーク監視: VPN ネットワークを継続的に監視し、不審なアクティビティや不正アクセスの試みを監視する。
この OpenVPN の脆弱性ですが、いまのベンダー・サイトには CVSS 値が表記されていません。ただし、この種のネットワーク・アクセスに関する脆弱性が悪用されると、かなりの深刻な事態に陥るため、ご用心ください。OpenVPN に関しては、2022/11/24 の「OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー」という記事もありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.