В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

Татьяна Никитина 23 Ноября 2021 - 19:12

...

В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

В VPN-клиентах, широко используемых в промышленности, обнаружены уязвимости, позволяющие удаленно выполнить произвольный код с высокими привилегиями. По данным Claroty, искомый эффект можно получить, заманив пользователя на вредоносный сайт.

Проблема актуальна для продуктов HMS Industrial Networks, MB connect line, PerFact и Siemens, полагающихся на технологию OpenVPN. Вендоры уже оповещены и приняли меры для исправления ситуации.

Как оказалось, приложения этих производителей используются как оболочка сервиса OpenVPN,. Клиент-серверная архитектура при этом обычно включает три элемента: фронтенд (простое GUI-приложение, задающее настройки VPN), бэкенд-сервис, получающий команды от пользователя (работает с привилегиями SYSTEM), и OpenVPN-демон, отвечающий за все аспекты VPN-соединения.

Управление бэкендом, как положено, осуществляется по выделенному каналу с использованием интерфейса сокетов, однако почти все протестированные продукты при этом передают данные в открытом виде и без каких-либо проверок на аутентичность. Это значит, что при наличии доступа к TCP-порту, на котором слушает бэкенд, кто угодно может загрузить на сервер новый файл конфигурации OpenVPN с командами, которые будут исправно выполнены.

Для этого достаточно вынудить пользователя кликнуть по ссылке на вредоносный сайт с JavaScript-кодом, способным локально отправить слепой запрос HTTP POST. По словам экспертов, это классический случай SSRF-атаки (подменой запросов на стороне сервера), и злоумышленнику даже не придется поднимать собственный сервер OpenVPN.

Исполнение стороннего кода возможно только в тех случаях, когда автор атаки находится в том же домене сети, что и жертва, или на ее компьютере открыт удаленный доступ по SMB.

Наличие уязвимости подтверждено для четырех популярных продуктов:

eCatcher производства HMS Industrial (CVE-2020-14498);
OpenVPN-Client от PerFact (CVE-2021-27406);
клиент SINEMA Remote Connect компании Siemens (CVE-2021-31338);
mbConnect Dialup от MB connect line (CVE-2021-33526 и CVE-2021-33527).

В первом случае проблема оценена как критическая (9,6 балла по CVSS), в остальных — как высокой степени опасности. Производители уже внесли исправления в свои коды и опубликовали рекомендации по смягчению угрозы.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 03 Апреля 2026 - 15:59

Соответствие законодательству РФ Корпорации Государство

Минцифры хочет снять мораторий на проверки операторов связи

Минцифры в рамках реформы системы управления отраслью связи обсуждает возможность снятия моратория на плановые проверки операторов. Речь идёт прежде всего о контроле за установкой систем хранения записей звонков и переписки, предусмотренных «законом Яровой».

О том, что Минцифры обсуждает отмену моратория на плановые проверки операторов, сообщил РБК со ссылкой как минимум на два источника в отрасли.

Мораторий на проверки, действующий до 2030 года, был введён в 2023 году. Он допускает проведение внеплановых проверок только на объектах чрезвычайно высокого и высокого риска, к которым отрасль связи не относится.

Как утверждают источники РБК, действующий мораторий мешает проверять операторов на предмет установки систем оперативно-розыскных мероприятий (СОРМ). Причём такие системы обязаны устанавливать не только операторы связи, но и организаторы распространения информации, к которым относятся владельцы сервисов приёма, передачи и обработки пользовательских сообщений.

«Это должно пресечь практику, когда оператор создаёт новое юрлицо, работает без СОРМ несколько лет, затем закрывает это юрлицо и открывает новое, повторяя схему», — рассказал источник РБК.

Ещё одно обсуждаемое требование заключается в том, чтобы оператор связи выполнил все условия, связанные с СОРМ, ещё до начала своей деятельности. Таким образом, установка СОРМ может стать обязательным условием для выхода на рынок услуг связи. При этом внедрение такого комплекса с учётом всех необходимых согласований с регуляторами может занимать более двух лет.

Представитель Минцифры в комментарии для РБК подтвердил, что инициативы по борьбе с недобросовестными операторами связи действительно обсуждаются с бизнесом и заинтересованными ведомствами. Однако, по его словам, каких-либо окончательных решений по этому вопросу пока не принято.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!