La versión 2.3.6 de OpenVPN corrige una vulnerabilidad que dejaba abierta la posibilidad de ejecutar ataques de Denegación de Servicio (DoS). La falla, CVE-2014-8104, permitía a un cliente autenticado en TLS bloquear el servidor enviándole un paquete de datos de control demasiado corto. Cabe destacar que al ser explotada, lo único que puede provocar es DoS, no la ejecución de malware u otras formas de ataque.
La actualización se hizo extensiva a OpenVPN 2.2, ya que las versiones lanzadas desde 2005 estaban afectadas, aunque está la posibilidad de que algunas anteriores también lo estuvieran. El aviso del proveedor aclara que solo la disponibilidad del servidor se ve afectada, y no la confidencialidad y autenticidad del tráfico.Esto significa que el código utilizado en la mayoría de los clientes OpenVPN Connect (como Android e iOS) no es vulnerable ni se usa en el lado del servidor.
TLS (Transport Layer Security) es un protocolo de seguridad que cifra la comunicación a través de Internet, es decir, proporciona comunicaciones seguras en una red. Por ejemplo, HTTPS usa TLS. Entonces, la vulnerabilidad en cuestión permitiría que un usuario ya autenticado pueda bloquear el servidor con un ataque DoS, enviando un paquete de datos de control corto al servidor -en toda comunicación, además de la información que se transmite, también se envían datos especiales o paquetes de control.
Solo clientes autenticados en TLS pueden explotar esta vulnerabilidad en el servidor de OpenVPN, de manera que los certificados de cliente y la autenticación en TLS podrán proteger contra el exploit, siempre y cuando todos los clientes OpenVPN no estén comprometidos o no sean maliciosos. La autenticación con usuario y contraseña no protege contra el exploit, y los servidores que usen –client-cert-not-required por definición no tienen certificados de cliente para protegerse.
Fuente:https://www.welivesecurity.com/la-es/2014/12/03/openvpn-vulnerabilidad-dos/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad