В OpenVPN обнаружен ряд новых проблем, которые пропустили аудиторы
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В OpenVPN обнаружен ряд новых проблем, которые пропустили аудиторы

Александр Панасенко 23 Июня 2017 - 08:30
...
В OpenVPN обнаружен ряд новых проблем, которые пропустили аудиторы

В мае 2017 года стало известно о завершении сразу двух аудитов OpenVPN. Проверкой безопасности занимался известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green) и его команда, ранее уже осуществлявшая аудит TrueCrypt.

Команда Грина сосредоточилась на поиске багов в OpenVPN 2.4, связанных с памятью (переполнение буфера, use-after-free и так далее), а также слабых мест в криптографии. Также проверкой кода OpenVPN занималась и другая группа исследователей — Quarkslab, которые изучали OpenVPN для Windows и Linux, проверяли GUI и TAP-драйвер для Windows.

Тогда исследователи не обнаружили в коде OpenVPN практически никаких серьезных проблем, но спустя буквально пару недель специалисты Sydream Labs сообщили, что аудиторы не заметили баг в административном интерфейсе OpenVPN. Уязвимость позволяет похитить чужую сессию, а затем воспользоваться этим для доступа к OpenVPN-AS с правами жертвы. Если пострадавший имел привилегии администратора, проблема становится еще серьезнее, пишет xakep.ru.

Теперь, спустя еще месяц, независимый ИБ-специалист Гвидо Вранкен (Guido Vranken) применил к OpenVPN фаззинг и сумел обнаружить еще четыре опасные уязвимости, которые «пропустили» аудиторы. Все найденные исследователем баги уже были устранены в OpenVPN 2.4.3 и 2.3.17, поэтому Вранкен опубликовал подробную информацию о проблемах.

Наиболее опасным багом является CVE-2017-7521, который связан с использованием функции extract_x509_extension(), связанной с верификацией SSL. По словам специалиста, расширение X509 может быть атаковано рядом способов. Так, атакующий может спровоцировать отказ в работе сервера, вызвать ошибки освобождения памяти, а также выполнить на сервере произвольный код.

Проблема, CVE-2017-7520, связана с тем, как OpenVPN обрабатывает соединения с Windows NTLMv2. Баг может спровоцировать утечку памяти, в результате чего злоумышленник сможет удаленно вызвать отказ в работе, а также похитить пароль пользователя.

Еще две уязвимости (CVE-2017-7508 и CVE-2017-7522) тоже позволяют удаленно спровоцировать отказ в работе сервера.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Telegram активизировались мошенники, собирающие данные пользователей ЖКУ
Татьяна Никитина 06 Ноября 2025 - 20:11
МошенничествоОнлайн-мошенничество Домашние пользователи
В Telegram активизировались мошенники, собирающие данные пользователей ЖКУ

Последние месяцы в Angara Security фиксируют всплеск активности мошенников, маскирующих свои телеграм-боты под сервисы оплаты ЖКУ. Новые атаки, по мнению экспертов, спровоцировала реализация проекта по цифровизации ЕПД.

Инициатива Минстроя РФ по тотальному переводу единых счетов ЖКХ в электронную форму, доступную через ГИС ЖКХ и Госуслуги, еще не узаконена, однако сетевые аферисты уже подхватили актуальную тему и усиленно ее эксплуатируют.

«Эксперты отмечают всплеск мошеннических схем в мессенджере Telegram на фоне реализации в ряде российских регионов проекта по переходу на единый платежный документ за жилищно-коммунальные услуги в электронном виде, — цитирует РИА Новости комментарий Angara. — Злоумышленники активно используют новостную повестку, чтобы заманить пользователей в фишинговые боты, имитирующие сервисы управляющих компаний».

Поддельные сервисы ЖКХ в популярном мессенджере, по данным аналитиков, предлагают не только оплату счетов по единому документу, но также передачу показаний счетчиков, оформление заявок через диспетчерскую и решение других вопросов, волнующих собственников жилья.

Действующие в Telegram мошенники заманивают пользователей в такие боты с помощью личных сообщений от имени управляющих компаний и председателей ТСЖ / ЖСК. Подобные злоумышленники могут также объявиться в локальном чате, рекомендуя участникам некий бот-ассистент.

Во всех случаях потенциальным жертвам предлагается перейти по фишинговой ссылке, якобы для уточнения персональных данных. Ввиду возросшей угрозы эксперты напоминают: управляющие компании и ТСЖ никогда не проводят массовые рассылки в мессенджерах с целью уточнения ПДн либо финансовой информации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Магните запустили пилот подтверждения возраста через MAX
Новость
В Магните запустили пилот подтверждения возраста через MAX
Итоги CyberCamp 2025: 42 тысячи участников и 220 команд
Новость
Итоги CyberCamp 2025: 42 тысячи участников и 220 команд
Мошенники начали использовать боты, имитирующие сервисы банков
Новость
Мошенники начали использовать боты, имитирующие сервисы банк...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.