CVE-2024-8474: OpenVPN Connect Vulnerability Leaks Private Keys
2025/01/06 SecurityOnline — 人気の VPN クライアント・アプリ OpenVPN Connect に存在する、深刻なセキュリティ脆弱性が修正された。この脆弱性が悪用されると、ユーザーの秘密鍵の公開や、VPN トラフィックの復号化などにいたる恐れがあるという。
先日に公開された OpenVPN Connect の脆弱性 CVE-2024-8474 により、何百万人ものユーザーが、サイバー攻撃にさらされる可能性が生じている。バージョン 3.5.0 以前に存在する、この脆弱性により、コンフィグレーション・プロファイルの秘密鍵が、アプリケーション・ログ内に平文で記録されてしまうという。つまり、デバイスにアクセスできる悪意の人物であれば、鍵を抽出してユーザーの VPN トラフィックを復号化し、VPN 保護を無効化する可能性を得るという。
OpenVPN Connect は、Google Play Store 1,000 万回以上もダウンロードされている、人気のクライアント・アプリケーションであり、VPN サーバとのセキュアな接続の確立のために利用されている。
OpenVPN Connect 自体が、VPN サービスを提供していないことを指摘しておく。つまり、ユーザーは、別の VPN サーバに接続する必要がある。
OpenVPN Connect の最新バージョン 3.5.1 は、長時間にわたり操作しないときにクラッシュするという、安定性の問題に対処するものであるが、キー漏洩の脆弱性も修正されているため、このバージョンへの更新が強く推奨される。
OpenVPN Connect ユーザーは何をすべきか?
- 警戒を怠らない: 潜在的なセキュリティ・リスクに常に注意し、ソフトウェアを最新の状態に保つ。
- 速やかな更新:Google Play Store もしくは App Store から、OpenVPN Connect バージョン 3.5.1 以降をダウンロードしてインストールする。
- ログの確認:バージョン 3.5.0 以前を使用していた場合は、アプリケーション・ログにより、疑わしいアクティビティの有無を確認する。
- VPN 認証情報の変更:予防策として、VPN ユーザー名とパスワードの変更を検討してほしい。
OpenVPN Connect の脆弱性が FIX しました。ご利用のチームは、アップデートを お急ぎください。また、文中でも指摘されているように、アプリケーション・ログの確認が必要な場合もあるようです。よろしければ、OpenVPN で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.