PROTO: N231113 

CERT Yoroi informa riguardo una serie di vulnerabilità critiche che affliggono la tecnologia OpenVPN Access Server. 

OpenVPN è un software open source per la creazione VPN scritto da James Yonan e rilasciato con licenza GPL. È usato per creare tunnel crittografati punto-punto sicuri fra due computer attraverso una rete non sicura, ad esempio Internet. Permette agli host di autenticarsi l'uno con l'altro per mezzo di chiavi private condivise, certificati digitali o credenziali utente/password. 

Nel bollettino ufficiale di sicurezza, il vendor sottolinea come siano presenti due vulnerabilità, nello specifico: 

• CVE-2023-46849: La vulnerabilità iniziale è di tipo "Division by Zero Crash" che può verificarsi quando viene configurato OpenVPN Access Server con l'opzione "-fragment", come da bollettino. Anche se questa configurazione non è inclusa nelle configurazioni predefinita, alcuni utenti l'hanno abilitata esplicitamente. Questa vulnerabilità ha il potenziale per mandare in crash il server di accesso OpenVPN, interrompendo la connettività VPN e potenzialmente esponendo dati sensibili se viene utilizzata. 
• CVE-2023-46850: La seconda vulnerabilità è un problema di sicurezza “use-after-free" più grave che potrebbe consentire agli aggressori di far trapelare informazioni sensibili dalla memoria di OpenVPN Access Server. In casi estremi, questa vulnerabilità potrebbe anche portare all'esecuzione di codice remoto, consentendo agli aggressori di prendere il controllo del server interessato. 
  Come sottolinea il vendor all’interno del security advisor "OpenVPN 2.6 dalla v2.6.0 fino alla v.2.6.6 inclusa utilizza erroneamente un buffer di invio dopo che è stato free() in alcune circostanze, causando l'invio di parte della memoria free() dal peer. Tutte le configurazioni che utilizzano TLS (ad esempio non utilizzando -secret) sono affette da questo problema". 

La gravità del possibile impatto di queste due vulnerabilità, secondo ricerche del nostro team di intelligence, potrebbe essere resa più critica per il vasto numero di server esposti online utilizzanti tale tecnologia. OpenVPN Access Server è utilizzato attualmente su oltre 700’000 macchine esposte online, come dimostra la query su FOFA, di cui 6’700 solo in Italia. 

Per mitigare efficacemente il rischio associato a questa vulnerabilità, OpenVPN ha rilasciato una patch per le versioni 2.11.0, 2.11.1, 2.11.2, 2.11.3, 2.12.0, e 2.12.1, la versione 2.12.2. Il vendor consiglia alle organizzazioni di aggiornare immediatamente i propri sistemi a quest'ultima versione. Inoltre, il vendor sottolinea come sia importante intraprendere misure di sicurezza aggiuntive, di cui ne esplicita i dettagli: 

1. Aggiornare regolarmente il software: Mantenete il vostro software VPN e il sistema operativo aggiornati con le ultime patch di sicurezza. 

2. Applicazione di password forti: Applicate politiche di password forti per tutti gli utenti VPN, tra cui la lunghezza minima della password, i requisiti di complessità e la modifica regolare della password. 

3. Autenticazione a due fattori: Implementare l'autenticazione a due fattori (2FA) per un ulteriore livello di sicurezza durante l'accesso alla VPN.  

4. Restrizioni di accesso alla VPN: Limitare l'accesso alla VPN agli utenti e ai dispositivi autorizzati, limitando l'accesso solo a chi ne ha realmente bisogno. 

5. Monitoraggio della rete: Monitorare costantemente la rete VPN per rilevare attività sospette o tentativi di accesso non autorizzati. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

Riferimenti Esterni 

• https://openvpn.net/security-advisory/access-server-security-update-cve-2023-46849-cve-2023-46850/  
• https://securityonline.info/cve-2023-46850-openvpn-access-server-flaw-exposes-sensitive-data-rce-possible/ 
• https://twitter.com/fofabot/status/1724026560871813571  
• https://community.openvpn.net/openvpn/wiki/CVE-2023-46850  
• https://community.openvpn.net/openvpn/wiki/CVE-2023-46849