Dwa audyty kodu OpenVPN nie pomogły, eksperci przeoczyli groźne luki

Audyty oprogramowania Open Source – czy może być lepszagwarancja jego bezpieczeństwa i niezawodności, gdy oczy ekspertówwypatrują w kodzie wszystkiego, co mogłoby pozwolić na stworzenieexploitu? W tym roku dwa takie audyty przeszło popularneoprogramowanie do wirtualnych sieci prywatnych, OpenVPN. W jednym znich udział brał słynny kryptograf Matthew Green z Johns HopkinsUniversity. A mimo to OpenVPN pozostało dziurawe.

Holenderski badacz Guido Vranken donosi o odkryciu czterech nowychluk w OpenVPN, które nie zostały zauważone w obu tegorocznychaudytach. Są one groźne w skutkach, jedna z nich pozwala na zdalneuruchomienie kodu, inna otwiera drogę do wykradnięcia hasełużytkownika. Co ciekawe, odkryte zostały nie za pomocą audytukodu, lecz z wykorzystaniem automatycznego fuzzera.

Najpoważniejsza z luk to CVE-2017-7521, która tkwi w funkcjiprzetwarzającej certyfikaty x509. Pozwala ona napastnikowi nazawieszenie usługi OpenVPN odpowiednio spreparowanym certyfikatem, aw teoriipoprzez dwukrotne uwolnieniepamięci z tym samym adresem jako argumentem, nawet zdalneuruchomienie kodu na serwerze.

Druga z luk, CVE-2017-7520, wiąże się z łączeniem z proxyWindows NTLM v2. Napastnik przeprowadzający atak man-in-the-middlemoże za jej pomocą zawiesić klienta OpenVPN albo wykraść hasłaużytkownika z wycieku pamięci z proxy.

Pozostałe dwie luki, CVE-2017-7508 oraz CVE-2017-7522 pozwalająna zdalne zawieszenie serwera OpenVPN – wystarczy wysłać muspreparowane pakiety IPv6 lub uzłośliwione dane uwierzytelniające.

Jedynym sposobem na zabezpieczenie się przed takimi atakami jestzaktualizowanie OpenVPN-a. Bezpieczne są właśnie wydane wersje2.3.17oraz 2.4.3. Więcej informacji na ten temat znajdziecie we wpisieblogowym Guido Vrankena.

Odkrycie powinno być traktowane jako kubeł zimnej wody na głowętych, którzy wierzą w naturalnie wyższe bezpieczeństwoopensource’owego kodu. Oprogramowanie stało się tak złożone, żenawet wybitni eksperci patrząc na jego kod mogą nie zauważyćznajdujących się w nim luk, a co dopiero przypadkowi programiści,opiekunowie linuksowych dystrybucji, którzy po prostu przygotowująpaczki.

Dlatego tak duże znaczenie odgrywają automatyczne narzędzia,takie właśnie jak fuzzery. Google’owa inicjatywa OSS-Fuzzsłuży właśnie wyszukiwaniu błędów w opensource’owymoprogramowaniu za pomocą tych narzędzi, które służą do analizykodu Chromium. Jak do tej pory w ten sposób wykryto ponad tysiącluk, z czego ponad 240 dotyczyło właśnie bezpieczeństwa.