Le logiciel VPN open-source OpenVPN a corrigé trois vulnérabilités importantes dans OpenVPN 2.6.11, publié le 21 juin 2024. Alors que l'annonce initiale mentionnait des correctifs de sécurité, la gravité de ces vulnérabilités n'a été révélée en détail que récemment.

La faille la plus critique, répertoriée sous le nom de CVE-2024-5594, permet aux attaquants d'injecter des données arbitraires dans des exécutables ou des plugins tiers. Cette vulnérabilité, avec un score CVSS de 9.1, pourrait être exploitée par un pair OpenVPN malveillant pour exécuter du code ou provoquer un déni de service.

« OpenVPN avant la version 2.6.11 n'analyse pas correctement les messages PUSH_REPLY, ce qui permet aux attaquants d'injecter des données arbitraires inattendues dans des exécutables ou des plugins tiers », explique la description de la vulnérabilité.

Une autre vulnérabilité, CVE-2024-4877, affecte spécifiquement les utilisateurs de Windows. Cette faille pourrait permettre à des attaquants de voler les informations d'identification de l'utilisateur en exploitant une faiblesse dans le tuyau de service interactif de l'interface graphique OpenVPN.

« Un processus malveillant disposant de certains privilèges élevés (SeImpersonatePrivilege) pourrait ouvrir le tuyau une seconde fois, en incitant l'interface graphique OpenVPN à fournir des informations d'identification de l'utilisateur (jetons), obtenant ainsi un accès complet au compte sous lequel openvpn-gui.exe s'exécute », avertit le rapport.

La troisième vulnérabilité, CVE-2024-28882, permet aux clients authentifiés de maintenir une connexion avec le serveur même après que ce dernier a initié une déconnexion. Cette vulnérabilité peut être utilisée pour maintenir un accès non autorisé ou perturber le fonctionnement du serveur.

Le projet OpenVPN a corrigé les trois vulnérabilités dans la version 2.6.11, publiée le 21 juin 2024. Les utilisateurs d'OpenVPN sont fortement encouragés à mettre à jour cette version ou une version ultérieure afin de se protéger contre les attaques potentielles.