Aviatrix, dostawca wirtualnych sieci prywatnych typu open source dla firm, do którego klientów należą BT, NASA i Shell, naprawił poważną lukę, która w przypadku wykorzystania może dać osobie atakującej uprawnienia do eskalacji w sieci. komputer, do którego mieli już dostęp. Badacz i inżynier treści z Immersive Labs, Alex Seymour, odkrył tę lukę po zauważeniu, że klient VPN tej firmy był szczególnie rozwlekły podczas uruchamiania na komputerze z systemem Linux. Do ujawnienia doszło zaledwie dwa miesiące po tym, jak NSA i Rada Bezpieczeństwa Narodowego ostrzegła organizacje, że sponsorowani przez państwo napastnicy zaczęli atakować luki w zabezpieczeniach wirtualnych sieci prywatnych. W poście na blogu informującym o jego odkryciu Seymour ostrzegł, że firmy powinny jak najszybciej zainstalować najnowszą łatkę Aviatrix, stwierdzając: „Po ostrzeżeniach rządów Wielkiej Brytanii i Stanów Zjednoczonych dotyczących luk w zabezpieczeniach VPN podkreśla, że często technologie chroniące firmy muszą być zarządzane tak rygorystycznie, jak ich użytkownicy.” Ludzie mają tendencję do myślenia, że ich VPN jest jednym z najbezpieczniejszych elementów ich bezpieczeństwa, więc powinno to pobudzić branżę. Użytkownicy powinni zainstalować nową łatkę tak szybko, jak to możliwe, aby mieć pewność, że nie dojdzie do wykorzystania jej w środowisku naturalnym. "
Luka w zabezpieczeniach VPN
Luka w zabezpieczeniach odkryta przez Seymoura dotyczy wersji klienta Aviatrix dla systemów Linux, macOS i FreeBSD, które korzystają ze wszystkich opcji włączania i wyłączania polecenia OpenVPN w celu wykonywania skryptów powłoki po nawiązaniu lub zakończeniu połączenia VPN. . Ze względu na słabe uprawnienia do plików ustawione w katalogu instalacyjnym w systemach Linux i FreeBSD osoba atakująca może potencjalnie zmodyfikować wykonywanie tych skryptów, zwiększając uprawnienia, gdy usługa zaplecza wykonywała polecenie OpenVPN. Zapewniłoby to atakującemu dostęp do plików, folderów i usług sieciowych działających na komputerze korzystającym z Aviatrix VPN. Według Seymoura firma Aviatrix potraktowała ujawnienie tej informacji bardzo poważnie i ściśle współpracowała z Immersive Labs podczas całego procesu naprawy, zanim wypuściła poprawkę rozwiązującą problem na początku listopada. Jeśli Twoja organizacja korzysta obecnie z klienta Aviatrix VPN w systemie Linux, FreeBSD lub macOS, zdecydowanie zaleca się natychmiastowe zainstalowanie łatki firmy, aby uniknąć padnięcia ofiarą. Atak polegający na podniesieniu uprawnień.- Sprawdź także naszą pełną listę najlepszych usług VPN