В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

Татьяна Никитина 23 Ноября 2021 - 19:12

...

В приложениях на основе OpenVPN выявлены опасные RCE-уязвимости

В VPN-клиентах, широко используемых в промышленности, обнаружены уязвимости, позволяющие удаленно выполнить произвольный код с высокими привилегиями. По данным Claroty, искомый эффект можно получить, заманив пользователя на вредоносный сайт.

Проблема актуальна для продуктов HMS Industrial Networks, MB connect line, PerFact и Siemens, полагающихся на технологию OpenVPN. Вендоры уже оповещены и приняли меры для исправления ситуации.

Как оказалось, приложения этих производителей используются как оболочка сервиса OpenVPN,. Клиент-серверная архитектура при этом обычно включает три элемента: фронтенд (простое GUI-приложение, задающее настройки VPN), бэкенд-сервис, получающий команды от пользователя (работает с привилегиями SYSTEM), и OpenVPN-демон, отвечающий за все аспекты VPN-соединения.

Управление бэкендом, как положено, осуществляется по выделенному каналу с использованием интерфейса сокетов, однако почти все протестированные продукты при этом передают данные в открытом виде и без каких-либо проверок на аутентичность. Это значит, что при наличии доступа к TCP-порту, на котором слушает бэкенд, кто угодно может загрузить на сервер новый файл конфигурации OpenVPN с командами, которые будут исправно выполнены.

Для этого достаточно вынудить пользователя кликнуть по ссылке на вредоносный сайт с JavaScript-кодом, способным локально отправить слепой запрос HTTP POST. По словам экспертов, это классический случай SSRF-атаки (подменой запросов на стороне сервера), и злоумышленнику даже не придется поднимать собственный сервер OpenVPN.

Исполнение стороннего кода возможно только в тех случаях, когда автор атаки находится в том же домене сети, что и жертва, или на ее компьютере открыт удаленный доступ по SMB.

Наличие уязвимости подтверждено для четырех популярных продуктов:

eCatcher производства HMS Industrial (CVE-2020-14498);
OpenVPN-Client от PerFact (CVE-2021-27406);
клиент SINEMA Remote Connect компании Siemens (CVE-2021-31338);
mbConnect Dialup от MB connect line (CVE-2021-33526 и CVE-2021-33527).

В первом случае проблема оценена как критическая (9,6 балла по CVSS), в остальных — как высокой степени опасности. Производители уже внесли исправления в свои коды и опубликовали рекомендации по смягчению угрозы.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Мая 2026 - 14:09

Android Потенциально опасные программы Рекламные программы Домашние пользователи

Исследователи из zLabs раскрыли крупную вредоносную кампанию против пользователей Android. Злоумышленники распространяли почти 250 вредоносных приложений, которые тайно подписывали жертв на платные мобильные сервисы через биллинг оператора.

Маскировка была максимально попсовая: фейковые приложения выдавали себя за Facebook, Instagram (Facebook и Instagram принадлежат корпорации Meta, признанной экстремистской и запрещённой в России), TikTok, Minecraft, Grand Theft Auto и другие узнаваемые сервисы.

Пользователь думал, что ставит игру или соцсеть, а на деле получал карманного подписочного паразита.

Главная хитрость кампании — выборочная атака по сим-карте. Зловред проверял мобильного оператора жертвы по заранее заданному списку. Если симка подходила, запускалась схема с платной подпиской. Если нет — приложение показывало безобидный контент и не палилось.

Дальше начиналась автоматика. Вредоносное приложение открывало скрытые WebView, внедряло JavaScript, нажимало нужные кнопки на страницах оператора, запрашивало одноразовые коды и подтверждало подписку. Для перехвата одноразовых кодов использовался легитимный механизм Google SMS Retriever API.

Чтобы платёж точно прошёл через мобильную сеть, зловред мог принудительно отключать Wi-Fi. А данные об устройстве, операторе, разрешениях и мошеннических действиях отправлялись злоумышленникам через телеграм-каналы.

По данным zLabs, кампания активна с марта 2025 года. Исследователи выделили три варианта зловреда: от автоматического подписочного движка до версии с многоступенчатой атакой, кражей cookies и мониторингом действий в реальном времени.

В кампании также нашли как минимум 12 коротких премиальных СМС-номеров, связанных с платными подписками у разных операторов. А ещё у злоумышленников была система трекинга: они отслеживали, через какие площадки — TikTok, Facebook, Google и другие — заражения идут лучше. Маркетинг, только грязный.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!