یک آسیبپذیری با شناسه CVE-2024-27903 و شدت بحرانی 9.8 در OpenVPN plug-ins شناسایی شده است. نسخه ۲.۶.۹ و قبلتر OpenVPN را میتوان در هر پوشهای از سیستمعامل ویندوز اجرا کرد؛ در نتیجه مهاجم امکان اجرای افزونه را از هر پوشهای دارد که این امر میتواند منجر به دسترسی غیرمجاز به سرویس تعاملی OpenVPN با سطح دسترسی بالاتر میشود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H، بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U). در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحتتأثیر
نسخه ۲.۶.۹ و پایینتر OpenVPN آسیبپذیر میباشند.
توصیه امنیتی
به کاربران توصیه میشود که OpenVPN ویندوز را به آخرین نسخه (۲.۶.۱۰ یا ۲.۵.۱۰) بهروزرسانی کرده و اقدامات لازم را جهت محافظت از سیستمهای خود انجام دهند.
منابع خبر:
[1] https://openvpn.net/security-advisory/ovpnx-vulnerability-cve-2024-27903-cve-2024-27459-cve-2024-24…
[2] https://www.tenable.com/cve/CVE-2024-27903
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-27903
- 151