In einem Sicherheitsbulletin vom 22. März 2024 hebt das OpenVPN-Sicherheitsteam vier neu entdeckte Schwachstellen in der OpenVPN-Desktopanwendung für Windows hervor. Diese Sicherheitslücken, die von niedrigem bis mittlerem Risiko reichen, bergen das Potenzial für lokale Benutzer, ihre Systemprivilegien unerlaubt zu erweitern.
Erstens wurde eine stack-basierte Pufferüberlaufschwachstelle (CVE-2024-27459) identifiziert, die es einem lokalen Benutzer ermöglichen könnte, durch Ausnutzung eines Grenzwertfehlers in der interaktiven Dienstkomponente, willkürlichen Code mit erweiterten Rechten auszuführen. Diese Schwachstelle, bewertet mit einem CVSS-Score von 6.8, betrifft die OpenVPN-Versionen 2.0 bis 2.6.9.
Des Weiteren wurde eine Schwachstelle in der Zugriffskontrolle (CVE-2024-24974) aufgedeckt, die einem entfernten Benutzer durch Umgehung der Sicherheitseinschränkungen des interaktiven Dienst-Pipes unautorisierten Zugriff gewähren könnte. Mit einem mittleren Risikograd und einem CVSS-Score von 4.7 wirft diese Sicherheitslücke ernsthafte Bedenken auf.
Die dritte Schwachstelle, ein nicht vertrauenswürdiger Suchpfad (CVE-2024-27903), könnte es einem lokalen Benutzer erlauben, einen bösartigen Binary in einen spezifischen Systemort einzuschleusen und somit Code mit höheren Privilegien auszuführen. Diese und die vierte Schwachstelle, ein Integer-Überlauf (CVE-2024-1305), der in der TAP-Treiberkomponente für Windows gefunden wurde, haben ebenfalls einen CVSS-Score von 6.8.
OpenVPN-Nutzer, insbesondere diejenigen, die die Versionen 2.0 bis 2.6.9 nutzen, werden nachdrücklich dazu angehalten, ihre Software auf die neueste Version 2.510 bzw. 2.6.10 zu aktualisieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: