Giải pháp mạng riêng ảo mã nguồn mở OpenVPN được cho là đang bị ảnh hưởng bởi lỗ hổng GNU Bash được đặt tên Shellshock, một nhà nghiên cứu tiết lộ hôm thứ Ba vừa qua.
Theo Fredrick Strömberg, đồng sáng lập của công ty Mullvad tại Thụy Điển, máy chủ OpenVPN dễ bị tấn công thông qua Shellshock trong một số cấu hình nhất định.
Stromberg đã viết trong một bài đăng trên Hacker News: "OpenVPN có một số tùy chọn cấu hình có thể gọi lệnh riêng trong các giai đoạn khác nhau của phiên đường hầm. Nhiều lệnh được gọi với các biến môi trường được thiết lập, một số lệnh có thể được kiểm soát bởi máy khách".
Công ty OpenVPN
Mullvad đã báo cáo kết quả nghiên cứu cho OpenVPN tuần trước. Đại diện OpenVPN đã cung cấp một số giải thích về lỗ hổng dễ tổn thương và các yếu tố giảm thiểu. Trong khi đó, một thử nghiệm khai thác lỗ hổng trên OpenVPN đã được Strömberg công bố.
Đây không phải là lần đầu tiên Strömberg phát hiện OpenVPN bị ảnh hưởng bởi lỗ hổng nghiêm trọng. Trong tháng tư, ngay sau khi lỗi Heartbleed được công bố, Strömberg đã báo cáo rằng ông đã có thể khai thác lỗ hổng OpenSSL để trích xuất khóa riêng từ OpenVPN.
Theo SecurityWeek
Thêm bình luận