В NordVPN и ProtonVPN исправлена опасная уязвимость
Обновления для NordVPN и ProtonVPN, предотвращающие выполнение произвольного кода на устройствах под управлением Windows, являются неэффективными.
Оба клиента используют ПО с открытым исходным кодом OpenVPN для создания безопасного туннеля между двумя точками. Сервис работает с привилегиями администратора, поэтому любой запускаемый код также обладает этими привилегиями.
По словам исследователя Пола Расканьереса (Paul Rascagneres) из Cisco Talos, злоумышленник может внедрить в конфигурационный файл OpenVPN вредоносный код, который затем попадет в сервис и будет выполнен на Windows-ПК с привилегиями системы.
Разработчики исправили проблему, реализовав в NordVPN и ProtonVPN механизм проверки на наличие параметров "up" и "down", позволяющих выполнить код или команды через OpenVPN. Однако, по мнению Расканьереса, данное решение неэффективно. Как обнаружил исследователь, выполнить код по-прежнему можно, всего лишь поместив параметры в кавычки.
В настоящее время уязвимости CVE-2018-3952 (ProtonVPN) и CVE-2018-4010 (NordVPN) уже исправлены окончательно. В ProtonVPN разработчики поместили конфигурационный файл OpenVPN в директорию инсталляции, и обычный пользователь больше не может его модифицировать. В NordVPN для генерирования конфигурационного файла OpenVPN теперь используется модель XML, и стандартный пользователь не может ее изменять.
Уязвимости затрагивают версии ProtonVPN 1.5.1 и NordVPN 6.14.28.0. Пользователи NordVPN получили обновления автоматически, тогда как ProtonVPN должен быть обновлен пользователями вручную.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш