Máy chủ OpenVPN cũng bị ảnh hưởng bởi Shellshock

gần đây còn được cho là có thể gây ảnh hưởng đến các máy chủ OpenVPN.

Fredrick Strömberg, đồng sáng lập Mullvad, công ty chuyên cung cấp dịch vụ VPN (Thụy Điển) gần đây đã phát hiện ra các máy chủ VPN nền tảng OpenVPN có thể bị nguy hiểm vì ảnh hưởng của lỗ hổng bảo mật Shellshock.

tin-tuc-3-10-9

Giải thích vì sao các máy chủ OpenVPN có thể bị tấn công, chuyên gia nghiên cứu trên cho rằng vì OpenVPN có rất nhiều các tùy chọn cấu hình có thể tùy biến thực hiện các câu lệnh khác nhau trong từng giai đoạn khác nhau của một phiên kết nối an toàn VPN. Trong số những lệnh này, có khá nhiều câu lệnh có thể gọi những tham biến từ môi trường mà có thể được điều khiển bởi người dùng.

Người dùng OpenVPN có thể gặp nguy hiểm từ lỗ hổng shellshock nếu quá trình xác thực tên/mật khẩu được cấu hình cho phép chuyển những thông tin đăng nhập vào các đoạn script xác thực dựa trên Bash thông qua các biến môi trường. Và nếu các máy chủ OpenVPN được cấu hình để yêu cầu giấy phép xác thực từ người dùng, những máy chủ này cũng có thể phải đối mặt với nguy cơ bị tấn công bởi chính những người dùng đã được xác thực.

Tuy nhiên, các máy chủ OpenVPN Access Server sẽ không bị ảnh hưởng bởi lỗi bảo mật Shellshock này. Vì mặc định, quá trình xác thực người dùng được cấu hình để thực hiện ngay trên OpenVPN Access Server thay vì gọi các đoạn script từ bên ngoài. Được biết, cơ chế ‘post_auth’ trên OpenVPN Access Server cũng không bị ảnh hưởng bởi lỗi bảo mật này – vì những đoạn script này được viết bởi Python và được tải trực tiếp từ trình biên dịch Python vốn không liên quan đến Bash hay cần dùng đến các biến môi trường trong quá trình xác thực người dùng.

Đại diện của OpenVPN cho biết người dùng tốt nhất nên ngừng sử dụng các phiên bản OpenVPN 2.2.x; và tốt nhất chỉ nên dùng shell để chạy các đoạn script thay vì dùng bash (#!/bin/bash).

Từ khi lỗi bảo mật Shellshock được phát hiện, ứng dụng firewall nền web Incapsula theo thống kê đã làm chệch hướng 217.000 cuộc tấn công tới hơn 4.100 domain chỉ trong vòng 4 ngày đầu tiên. Công ty này ước tính tổng số cuộc tấn công đến nay đã hơn con số 1 tỷ.

Theo: PCWorld VN

Bài viết liên quan