CVE-2024-5594 (CVSS 9.1): Critical Vulnerability in OpenVPN Enables Code Execution
2025/01/08 SecurityOnline — OSS の VPN である OpenVPN は、2024年6月21日にリリースされた OpenVPN 2.6.11 に存在する、3つの重大な脆弱性に対してパッチを適用した。これらの脆弱性 CVE-2024-5594/CVE-2024-4877/CVE-2024-28882 に関する当初の発表では、セキュリティ修正についてのみ言及されていたが、最近になって深刻度も開示された。
それぞれの脆弱性の詳細を以下に記す:
CVE-2024-5594 (CVSS:9.1)
この脆弱性の悪用に成功した攻撃者は、サードパーティの実行ファイルやプラグインに対する、任意のデータ注入の可能性を手にする。この脆弱性は、悪意のある OpenVPN ピアにより悪用されるものであり、コード実行やサービス拒否状態を引き起こす可能性を持つ。
NVD の説明によると、「OpenVPN 2.6.11 未満には、PUSH_REPLY メッセージが適切に無害化されないという欠陥が存在する。それを悪用する攻撃者は、サードパーティの実行ファイルやプラグインに対して、任意のデータ注入の可能性を手にする」という。
CVE-2024-4877
Windows ユーザーへの影響が大きい脆弱性である。この脆弱性の悪用に成功した攻撃者は、OpenVPN GUI の対話型サービス・パイプの欠陥を突き、ユーザー認証情報を盗み出せるという。
同派のレポートには、「昇格した特権 (SeImpersonatePrivilege) を持つ悪意のプロセスは、パイプを2回にわたって開くことで OpenVPN GUI 騙し、ユーザー認証情報(トークン)を提供させる。それにより、openvpn-gui.exe が実行されているアカウントへの、フルアクセスの可能性を手にする」と説明されている。
CVE-2024-28882
サーバが切断を開始した後においても、認証済みの攻撃者による、サーバ接続の維持することを許す。その結果として、不正アクセスの維持や、サーバ運用妨害などにいたる可能性がある。
すでに OpenVPN プロジェクトは、2024年6月21日にリリースしたバージョン 2.6.11 で、これらの脆弱性を修正している。潜在的な攻撃から身を守るために、OpenVPN のユーザーに対して推奨されるのは、この最新バージョンへと、速やかにアップグレードすることだ。
OpenVPN の3件の脆弱性が FIX とのことです。 CVSS スコアが示されているのは、それらの中の1件だけとなりますが、9.1 と評価されています。ご利用のチームは、十分に ご注意ください。なお、2025/01/06 には、「OpenVPN Connect の脆弱性 CVE-2024-8474:プライベート・キー漏洩の恐れ」という記事もポストされています。よろしければ、OpenVPN で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.