知らないうちに接続されてしまうOpenVPNの脆弱性

ほぼこもセキュリティニュース By Terilogy Worx

VPNというものがあります。
Virtual Private Networkです。
在宅勤務が増えている現在、業務でVPNを使用する人が増えていると思います。
そんなVPNの実装の一つに、OpenVPNというものがあります。

OpenVPNは、オープンソースのVPNでGPLライセンスによって公開されています。
WindowsやLinux、MacOSなど、いろいろなOSに移植されており、それぞれのOS上でOpenVPNが利用できます。
スマートフォンやタブレット用のOSであるiOSやAndroidでも利用できます。
このため、利用者の多い実装の一つとなっています。

そのOpenVPNで深刻な脆弱性が確認されています。

脆弱性を悪用すると対象機器上でコマンド実行ができるのですが、その一連の操作の成果として実施できる動作の一つに、VPNセッションの開始があります。
この脆弱性の悪用が成功すると、そのパソコンの利用者が認識できないうちに、勝手にVPNセッションを開始できてしまうのです。
VPNセッションの開始に際して、認証などの必要はありません。
静かにいつの間にか開始されてしまっているのです。

攻撃の前提条件としてSMBアクセスが利用できる必要があるため、この脆弱性が単独で悪用されることは考えにくいと思われます。
しかし、他の問題と組み合わせて使われてしまうことを考える場合、データの持ち出しなども自由にできるようにできてしまうことが懸念されます。

この問題は、いくつかのOpenVPNの実装に対して確認されています。
次のものが現在確認されている脆弱性です。

  • CVE-2020-14498
    CVSS 9.6 – HMS Industrial Networks AB’s eCatcher
  • CVE-2021-27406
    CVSS 8.8 – PerFact’s OpenVPN-Client
  • CVE-2021-31338
    CVSS 7.8 – Siemens’ SINEMA RC Client
  • CVE-2021-33526, CVE-2021-33527
    CVSS 7.8 – MB connect line GmbH’s mbConnect Dialup

他にも対策が必要なものがあるかもしれません。

ソフトウェアは更新された状態で利用する必要があります。
更新のタイミングを狙った攻撃の心配もありますので、ソフトウェアを更新する際は、公式からたどる形で更新を入手することをお勧めします。

参考記事(外部リンク):Severe Code Execution Vulnerabilities Affect OpenVPN-Based
Applications

www.securityweek.com/severe-code-execution-vulnerabilities-affect-openvpn-based-applications

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。