OpenVPN の脆弱性 CVE-2023-7235 が FIX:直ちにアップデートを!

CVE-2023-7235: OpenVPN Vulnerability Puts Windows Users at Risk

2024/02/21 SecurityOnline — OpenVPN は、Windows/Mac/Linux 用のバージョン 2.6.9 をリリースし、深刻な特権昇格の脆弱性 CVE-2023-7235 に対処した。この脆弱性は OpenVPN の Windows GUI インストールに影響するものであり、Will Dormann により発見された。

Windows では非標準的となる OpenVPN の GUI インストール中に、インストール・ディレクトリに対して不十分なパーミッションが適用される。Windows のパーミッシブなデフォルト設定により、マシン上のどのユーザーであっても、このディレクトリ内のファイルは変更できてしまう。つまり、この欠陥を悪用する攻撃者は、OpenVPN のコアコンポーネントを悪意のあるコードに置き換えることが可能となり、次の OpenVPN サービスの起動時に重要な制御を奪っていく可能性を持つ。

OpenVPN のセキュリティ・アドバイザリでは、「Windows はデフォルトで非常にオープンなパーミッションになっているため、標準のシステムパス以外のディレクトリにいるユーザーであれば、誰でも書き込みが可能になってしまう。そのため、攻撃者は、OpenVPN サービス・コンポーネントを他のコードに置き換えることが可能となり、次に OpenVPN サービス・プロセスが起動されるときに、攻撃者によるホストのコントロールが可能になってしまう」と詳述されている。

権限の昇格は、多くの攻撃チェーンにおいて重要なステップである。たとえ低レベル・ユーザーの攻撃者であっても、いったんシステムに足がかりを得ると、特権を昇格させることに重点を移せる。それにより、実行が可能になる悪意の活動としては、マルウェアのインストール/データの窃取/オペレーションの妨害/ネットワーク全体への横展開などが挙げられる。

OpenVPN 2.6.9 の新機能の恩恵を受け、脆弱性 CVE-2023-7235 の影響を排除するために、バージョン 2.6.9 へのアップデートを強く推奨する。

バージョン 2.6.9 の変更履歴は以下の通り:

セキュリティの修正

  • Windows インストーラー:デフォルト・ディレクトリ以外へのインストールが、ローカル権限の昇格につながる CVE-2023-7235 を修正したと、Will Dormann が報告している。

新機能:

  • mbedTLS 3.x.x でのビルドのサポートを追加した。
  • 新しいオプション “–force-tls-key-material-export” が追加された (大半は、TLS 1.0 の PRF のエラーを処理するための内部オプション)。
  • Windows:”vcpkg-ports/pkcs11-helper” を 1.30 へ移行した。
  • SSL アラートの受信を分かりやすい形でログに記録し、ロギングを –verb 8 から –verb 3 へ移行した。
  • protocol_dump():–tls-crypt” パケットを出力するためのサポートを追加。

ユーザーの目に見える変更

  • ライセンスの変更は完了し、すべてのコードが、GLP を維持しながら新しいライセンスに追加された。この新しいライセンスは、GPLv2 であることに変わりはないが、Apache2 でライセンスされたコードに対する、新しいリンク例外がある。詳細は COPYING を参照のこと。再ライセンス化できなかったコードは、削除または書き直された。
  • 再ライセンスのために、tls-export-cert 機能の、オリジナルのコードは削除された。機能の互換性は、他の開発者たちによりテストされている。ユーザーから見えるような変更はないはずだ。
  • IPv6 のルート追加/削除は、IPv4 と同じレベルで記録されるようになった。以前の IPv6 は常に –verb 1 でログに記録されていた。
  • 基礎となる SSL ライブラリの TLS 1.0 PRF エラーの処理が改善され、起動時に報告されるようになった。2.6.0 未満のユーザーで、TLS EKM を使用して鍵素材を生成できない場合には、サーバにより拒否される。また、エラー・メッセージも改善された。

注目すべきバグ修正

  • FreeBSD:複数のクライアントを持つサーバで、ピア・トラフィックの統計報告で、バッファ不足によるエラーが発生することがあった(#487) 。

なんというか、OpenVPN としては、Microsoft に対して不満タラタラという感じですね。同社が推奨するのは、Edge Secure Network なのでしょうか? ただし、この窓の杜の記事を見ると、提供しているのは Cloudflare のようです。よろしければ、VPN で検索も、ご利用ください。