Aviatrix, un fornitore open source di reti private virtuali per le aziende, i cui clienti includono BT, NASA e Shell, ha corretto una grave vulnerabilità che, se sfruttata, potrebbe concedere a un utente malintenzionato privilegi di escalation su una rete. computer a cui avevano già accesso. Il ricercatore e ingegnere dei contenuti di Immersive Labs Alex Seymour ha scoperto questa vulnerabilità dopo aver notato che il client VPN dell'azienda era particolarmente prolisso durante l'avvio su una macchina Linux. La divulgazione arriva appena due mesi dopo che la NSA e il Consiglio di sicurezza nazionale avevano avvertito le organizzazioni che gli aggressori sponsorizzati dallo stato avevano iniziato a prendere di mira le vulnerabilità nelle reti private virtuali. In un post sul blog che annunciava la sua scoperta, Seymour ha avvertito che le aziende dovrebbero installare l'ultima patch Aviatrix il prima possibile, affermando: "Sulla scia degli avvertimenti dei governi del Regno Unito e degli Stati Uniti sulle vulnerabilità nelle VPN, sottolinea che spesso le tecnologie che proteggono le aziende devono essere gestiti con la stessa severità dei loro utenti." Le persone tendono a pensare alla propria VPN come a uno degli elementi più sicuri della loro situazione di sicurezza, quindi questo dovrebbe essere un campanello d'allarme per il settore. Gli utenti dovrebbero installare la nuova patch il più rapidamente possibile per garantire che non vi sia sfruttamento in natura. "
Vulnerabilità VPN
La vulnerabilità di sicurezza scoperta da Seymour riguarda le versioni Linux, macOS e FreeBSD del client Aviatrix, che utilizzano tutte le opzioni di abilitazione e disabilitazione del comando OpenVPN per eseguire script di shell quando viene stabilita o terminata una connessione VPN. . A causa delle autorizzazioni file deboli impostate nella directory di installazione su Linux e FreeBSD, un utente malintenzionato potrebbe potenzialmente modificare l'esecuzione di questi script con privilegi elevati quando il servizio di back-end esegue il comando OpenVPN. Ciò consentirebbe a un utente malintenzionato di accedere a file, cartelle e servizi di rete in esecuzione su una macchina utilizzando Aviatrix VPN. Secondo Seymour, Aviatrix ha preso molto sul serio la sua divulgazione e la società ha lavorato a stretto contatto con Immersive Labs durante tutto il processo di riparazione prima di emettere una soluzione per il problema all'inizio di novembre. Se la tua organizzazione utilizza attualmente il client VPN Aviatrix su Linux, FreeBSD o macOS, ti consigliamo vivamente di applicare immediatamente la patch aziendale per evitare di diventare una vittima. Un attacco di elevazione dei privilegi.- Controlla anche il nostro elenco completo dei migliori servizi VPN