Microsoft Researcher to Unveil 4 OpenVPN Zero-Day Vulnerabilities at Black Hat USA 2024
2024/05/02 SecurityOnline — 2024年8月上旬に開催される Black Hat USA 2024 Conference において、OpenVPN に存在する一連の深刻なゼロデイ脆弱性に関するプレゼンテーションが、Microsoft の Senior Security Researcher である Vladimir Tokarev から行われる予定だ。OpenVPN は、全世界で何百万ものエンドポイントに使用されている、世界有数の VPN ソリューションである。コードネーム “OVPNX” と命名された、これらの脆弱性は、Windows/iOS/macOS/Android/BSD などの広範なプラットフォームのセキュリティ・リスクを露呈し、世界中の何千もの企業に影響を与える可能性がある。
Vladimir Tokarev によるプレゼンテーション “OVPNX: 4 Zero-Days Leading to RCE, LPE and KCE (via BYOVD) Affecting Millions of OpenVPN Endpoints Across the Globe” では、OpenVPN のリポジトリ内に発見された、4つのゼロデイ脆弱性の詳細な情報が説明される予定だ。強固なセキュリティ機能で知られる OpenVPN は、カーネル・コンポーネントとの相互作用を含め、さまざまな権限レベルにまたがる複雑なマルチプロセス・システムとして動作する。今回に発見された一連の脆弱性により、このような複雑なシステムの相互作用と OS API への依存が悪用されるという、脅威アクターが活用できる重大な弱点が明らかになった。
悪用のチェーンは、OpenVPN のプラグイン・メカニズムを標的としたリモート・コード実行攻撃から始まり、急速にエスカレートしていく:
- リモート・コード実行 (RCE:Remote Code Execution) :脆弱性の悪用に成功した攻撃者は、OpenVPN のプラグイン・メカニズムの欠陥をターゲットにエクスプロイトを開始し、システム上で任意のコードを実行する可能性がある。
- ローカル権限の昇格 (LPE:Local Privilege Escalation):この攻撃は、OpenVPN システム・サービスのスタック・オーバーフローを悪用し、NT システム・サービスをクラッシュさせ、名前付きパイプ・インスタンス作成の競合状態を引き起こす。
- BYOVD (Bring Your Own Vulnerable Driver) によるカーネルコード実行 (KCE:Kernel Code Execution):攻撃チェーンの最終段階では、OpenVPN の名前付きパイプ・リソースを強奪し、攻撃者が特権ユーザーになりすますことで、脆弱な署名付きドライバーをロードし、カーネル・レベルでのコード実行が可能になる。
この攻撃チェーンは、OpenVPN を悪用する手法が極めて高度なことを示すものであり、システムの完全な侵害/データの漏洩や、潜在的には広範なネットワークの混乱につながる可能性がある。
Black Hat USA 2024 で Vladimir Tokarev が行う予定のプレゼンテーションでは、これらの脆弱性を分析し、潜在的な悪用からネットワークを保護するための、重要な緩和テクニックが提供されるという。参加者は、これらの深刻な脆弱性からシステムを保護するために、直ちに適用できる防御戦略についての洞察を得ることができる。また、これらの攻撃が発生するプロセスと、組織による効果的な緩和の方式を実践的に示す、悪用チェーンのライブ・デモンストレーションも実施される予定だ。
Black Hat USA 2024 は、2024年8月3日〜8日に、Mandalay Bay Convention Center で開催される。
OpenVPN の脆弱性が、Black Hat 2024 で公開されるとのことです。ただし、現時点では CVE は採番されておらず、詳細についても僅かな情報が提供されるのみです。おそらく、OpenVPN に依存する各ベンダーなどに対しては、すでに報告が行われており、8月の Black Hat での公開時には、パッチが適用された状態になるのだと思います。よろしければ、OpenVPN で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.