OpenVPN – IoT OT Security News

OpenVPN の脆弱性 CVE-2025-13751／13086／12106：DoS 攻撃やセキュリティ回避の可能性

OpenVPN Vulnerabilities Let Hackers Triggers Dos Attack and Bypass Security Checks

2025/12/02 CyberSecurityNews — OpenVPN が公表したのは、安定版 (2.6 シリーズ)／開発ブランチ (2.7 シリーズ) 向けの、重要なセキュリティ・アップデートのリリース情報である。これらのアップデートで修正されたのは、ローカルでのサービス拒否 (DoS)／セキュリティ回避／バッファ・オーバーリードにつながる可能性がある３件の脆弱性である。

OpenVPN 2.7 の脆弱性 CVE-2025-10680：Linux／macOS クライアントでスクリプト・インジェクションの可能性

OpenVPN Vulnerability Exposes Linux, macOS Systems to Script Injection Attacks

2025/10/28 CyberSecurityNews — OpenVPN のバージョン 2.7_alpha1～2.7_beta1 に、新たな脆弱性 CVE-2025-10680 が発見された。この脆弱性がサーバ側で悪用されると、Linux／macOS／BSD 系などの POSIX ベースのクライアント上で任意のコマンドを実行する、スクリプト・インジェクション攻撃が可能になるという。

OpenVPN Driver の脆弱性 CVE-2025-50054 が FIX：Windows クラッシュを引き起こす恐れ

Critical OpenVPN Driver Vulnerability Allows Attackers to Crash Windows Systems

2025/06/21 CyberSecurityNews — OpenVPN の Windows 用データ・チャネル・オフロード・ドライバーに、深刻なバッファ・オーバーフロー脆弱性が発見された。この脆弱性を悪用するローカルの攻撃者は、悪意の制御メッセージを送信することで、Windows システムをクラッシュさせる可能性を手にする。この脆弱性 CVE-2025-50054 が影響を及ぼす範囲は、OpenVPN バージョン 2.6 以降でデフォルトの仮想ネットワーク・アダプターとして使用されている、ovpn-dco-win ドライバーのバージョン 1.3.0 以下／バージョン 2.5.8 以下である。

sslh の脆弱性 CVE-2025-46807／46806 が FIX：SSH／HTTPS／OpenVPN に大きな影響？

Critical sslh Vulnerabilities Allow Remote Denial-of-Service Attacks

2025/06/17 gbhackers — SSH／HTTPS／OpenVPN などの複数サービスで、単一のネットワーク・ポートを共有するために、広く利用されるプロトコル・マルチプレクサである sslh に存在する２件の深刻な脆弱性が、セキュリティ研究者たちにより明らかにされた。この脆弱性 CVE-2025-46807／CVE-2025-46806 を悪用するリモートの攻撃者は、sslh をクラッシュさせ、その利用を停止することで、結果として正規ユーザーに対するサービス拒否 (DoS) 攻撃うを引き起こす可能性を手にする。

IXON VPN クライアントの脆弱性 CVE-2025-26168／26169 が FIX：ローカル権限昇格の恐れ

IXON VPN Client Vulnerability Allows Privilege Escalation for Attackers

2025/05/08 gbhackers — 広く利用されている IXON の VPN クライアントに存在するセキュリティ脆弱性により、Windows／Linux／macOS システムに対する、ローカル権限昇格攻撃の恐れが生じている。この脆弱性により、権限のないユーザーであっても、ルート権限またはシステム・レベルのアクセス権を取得する機会を得られる。

OpenVPN の脆弱性 CVE-2025-2704 が FIX：サーバ・クラッシュとサービス中断の恐れ

CVE-2025-2704: Critical Bug in OpenVPN Can Trigger Server Crashes

2025/04/04 SecurityOnline — OpenVPN コミュニティが発表したのは、サーバ・サイドの脆弱性 CVE-2025-2704 を修正する、重要なセキュリティ・アップデート OpenVPN 2.6.14 のリリースである。この脆弱が微武器化されると、”–tls-crypt-v2″ オプションでコンフィグされた VPN サーバが、クラッシュする可能性が生じる。

一般的なユーザー向け Top VPN の選び方：低コストでプライバシー保護を実現

Cheap Yet Secure: Top VPNs for Privacy-Conscious Users on a Budget

2025/02/01 HackRead — オンライン・プライバシーへの懸念が高まる中で、完全なプライバシー保護を低コストで実現する VPN (Virtual Private Network) を見つけることは難しいかもしれない。大半のユーザーは、高額なプレミアム VPN を利用するのか、また、データの安全性が危ぶまれる無料サービスを利用するのか、どちらかを選択しなければならない。

OpenVPN の脆弱性 CVE-2024-5594／4877／28882 の詳細情報が開示：ただちにアップデートを！

CVE-2024-5594 (CVSS 9.1): Critical Vulnerability in OpenVPN Enables Code Execution

2025/01/08 SecurityOnline — OSS の VPN である OpenVPN は、2024年6月21日にリリースされた OpenVPN 2.6.11 に存在する、３つの重大な脆弱性に対してパッチを適用した。これらの脆弱性 CVE-2024-5594／CVE-2024-4877／CVE-2024-28882 に関する当初の発表では、セキュリティ修正についてのみ言及されていたが、最近になって深刻度も開示された。

OpenVPN Connect の脆弱性 CVE-2024-8474：プライベート・キー漏洩の恐れ

CVE-2024-8474: OpenVPN Connect Vulnerability Leaks Private Keys

2025/01/06 SecurityOnline — 人気の VPN クライアント・アプリ OpenVPN Connect に存在する、深刻なセキュリティ脆弱性が修正された。この脆弱性が悪用されると、ユーザーの秘密鍵の公開や、VPN トラフィックの復号化などにいたる恐れがあるという。

OpenVPN の脆弱性４件が判明：連鎖による RCE／LPE の可能性が生じる – Microsoft

Microsoft Reveals Four OpenVPN Flaws Leading to Potential RCE and LPE

2024/08/09 TheHackerNews — オープンソースの OpenVPN に、リモートコード実行 (RCE) とローカル権限昇格 (LPE) を連鎖的に引き起こす可能性のある、４件の Medium レベルの脆弱性が存在することを、Microsoft が公表した。Microsoft の Threat Intelligence Community に所属する Vladimir Tokarev は、「この攻撃チェーンの悪用に成功した攻撃者は、標的のエンドポイントを完全に制御を達成し、データ侵害／システム侵害／機密情報への不正アクセスを引き起こす可能性を手にする」と述べている。

OpenVPN が展開する議論：”ゼロデイ” という表現が曖昧に使われていませんか？

OpenVPN Addresses False Zero-Day Claims, Releases Security Patches

2024/07/09 SecurityOnline — OpenVPN が展開しているのは、OVPNX と命名された攻撃を可能にするとされる、OpenVPN2 ソフトウェアのゼロデイ脆弱性という、主張に対する反論である。この VPN ソリューションの大手プロバイダーでの反論は、”ゼロデイ” という言葉に対する誤解に基づくものであり、2024年8月に開催予定の Black Hat USA 2024 Conference のプレゼンテーションで、詳細が発表される予定だという。

OpenVPN のゼロデイ脆弱性：Black Hat 2024 で悪用チェーンなどが公開予定

Microsoft Researcher to Unveil 4 OpenVPN Zero-Day Vulnerabilities at Black Hat USA 2024

2024/05/02 SecurityOnline — 2024年8月上旬に開催される Black Hat USA 2024 Conference において、OpenVPN に存在する一連の深刻なゼロデイ脆弱性に関するプレゼンテーションが、Microsoft の Senior Security Researcher である Vladimir Tokarev から行われる予定だ。OpenVPN は、全世界で何百万ものエンドポイントに使用されている、世界有数の VPN ソリューションである。コードネーム “OVPNX” と命名された、これらの脆弱性は、Windows／iOS／macOS／Android／BSD などの広範なプラットフォームのセキュリティ・リスクを露呈し、世界中の何千もの企業に影響を与える可能性がある。

OpenVPN の深刻な脆弱性が FIX：特権昇格／リモート攻撃／クラッシュなどの権限に対応

OpenVPN Patches Serious Vulnerabilities in Windows Installations

2024/03/24 SecurityOnline — OpenVPN がリリースした、重要なセキュリティ・アップデート (バージョン 2.6.10) は、特権昇格／リモート攻撃／システムクラッシュなどを引き起こす可能性のある、 Windows ソフトウェアにおける一連の脆弱性に対処するものだ。これらの脆弱性が浮き彫りにするのは、特に OpenVPN のようなネットワーク・トラフィックを扱うツールにおける、定期的なソフトウェア・アップデートの必要性である。

OpenVPN の脆弱性 CVE-2023-7235 が FIX：直ちにアップデートを！

CVE-2023-7235: OpenVPN Vulnerability Puts Windows Users at Risk

2024/02/21 SecurityOnline — OpenVPN は、Windows／Mac／Linux 用のバージョン 2.6.9 をリリースし、深刻な特権昇格の脆弱性 CVE-2023-7235 に対処した。この脆弱性は OpenVPN の Windows GUI インストールに影響するものであり、Will Dormann により発見された。

OpenVPN の脆弱性 CVE-2023-46849／CVE-2023-46850 が FIX

CVE-2023-46850: OpenVPN Access Server Flaw Exposes Sensitive Data, RCE Possible

2023/11/12 SecurityOnline — OpenVPN Access Server に存在する２件の脆弱性にパッチが適用されたが、この脆弱性が攻撃者に悪用されると、機密情報への不正アクセスが生じる恐れがあるという。脆弱性 CVE-2023-46849／CVE-2023-46850 は、OpenVPN Access Server のバージョン 2.11.0／2.11.1／2.11.2／2.11.3／2.12.0／2.12.1 に影響を及ぼすものだ。一連のバージョンは、OpenVPN 2.6 を継承しており、そこで２つの脆弱性が発見された。

OpenVPN／SoftVPN とトロイの木馬：Android ユーザーを狙う Bahamut というハッカー

Hackers modify popular OpenVPN Android app to include spyware

2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先／通話データ／デバイスの位置情報／メッセージなどの窃取を目的としているとのことだ。

ロシア政府が Opera VPN と VyprVPN を脅威だと断定／禁止した

Russia bans Opera VPN and VyprVPN, classifies them as threats

2021/06/18 BleepingComputer — ロシアの電気通信監視機関である Roskomnadzor は、ロシアの現行法に基づき、Opera VPN および VyprVPN を脅威だと分類し、その使用を禁止した。Roskomnadzor の発表は、「禁止コンテンツである、児童ポルノ／自殺／麻薬などへのアクセス制限回避に関する規則に基づき、2021年6月17日から VyprVPN と Opera VPN の使用制限を導入する」という内容である。