OpenVPN Addresses False Zero-Day Claims, Releases Security Patches
2024/07/09 SecurityOnline — OpenVPN が展開しているのは、OVPNX と命名された攻撃を可能にするとされる、OpenVPN2 ソフトウェアのゼロデイ脆弱性という、主張に対する反論である。この VPN ソリューションの大手プロバイダーでの反論は、”ゼロデイ” という言葉に対する誤解に基づくものであり、2024年8月に開催予定の Black Hat USA 2024 Conference のプレゼンテーションで、詳細が発表される予定だという。
ゼロデイ脆弱性とは、ベンダーにとって未知のソフトウェア欠陥であり、利用可能なパッチが提供されていないものを指す。しかし、OpenVPN2 は、問題として取り上げられた脆弱性 CVE-2024-27903/CVE-2024-27459/CVE-2024-24974 に対して、2024年3月の時点でパッチをリリースしている。
それぞれの脆弱性の詳細は下記の通りだ:
- CVE-2024-27903:信頼できないインストール・パスからのプラグインのロードに関する脆弱性。openvpn.exe を標的とする悪意のプラグインにより、悪用される可能性がある。
- CVE-2024-27459:インタラクティブ・サービス・コンポーネントにおける、スタック・オーバーフローの脆弱性。ローカル権限の昇格につながる可能性がある。
- CVE-2024-24974:リモート・コード実行の脆弱性。インタラクティブ・サービス・パイプへのリモート・アクセスが生じる可能性がある。
これらの脆弱性は、ゼロデイではないとはいえ、攻撃者に Windows システム上の OpenVPN の対話型サービス・コンポーネントの悪用をゆるす可能性があるため、深刻であることには変わりない。脆弱性の悪用に成功した攻撃者は、特権の昇格やリモート・コードの実行を実行する可能性さえある。
これらの脆弱性の発見者である セキュリティ研究者の Vladimir Tokarev からの報告に対して、OpenVPN は迅速に対処し、アップデート版 2.6.10/2.5.10 をリリースしている。同社の積極的な対応は、ユーザーのセキュリティに対して、責任ある情報公開を実践するという、同社の姿勢を示すものである。
ユーザーに対して強く推奨されるのは、最新バージョンへと直ちにアップデートすることである。さらに、強力なパスワードの使用や、ユーザー権限の制限などの、セキュリティ・ベストプラクティスに従うことで、セキュリティ体制を強化できる。
たしかに、ゼロデイの定義はややこしいと思います。たとえば、Microsoft の場合だと、「Microsoft におけるゼロデイ脆弱性の定義は、公式な修正プログラムが提供されていないが、すでに一般に公開されている脆弱性、および、積極的に悪用されている脆弱性となっている」と表現されています。おそらく、他のベンダーも、これに準じているのだと思いますが、最近の記事で見かけるのが、「脆弱性 ◯◯ をゼロデイとして悪用して」といった表現です。おそらく、パッチが提供されていても、未適用のままで放置されている状態を指すのでしょうが、なんとなく曖昧ですよね。本題とはズレていますが、曖昧の一例ではあります。よろしければ、OpenVPN で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.