知らないうちに接続されてしまうOpenVPNの脆弱性

VPNというものがあります。
Virtual Private Networkです。
在宅勤務が増えている現在、業務でVPNを使用する人が増えていると思います。
そんなVPNの実装の一つに、OpenVPNというものがあります。

OpenVPNは、オープンソースのVPNでGPLライセンスによって公開されています。
WindowsやLinux、MacOSなど、いろいろなOSに移植されており、それぞれのOS上でOpenVPNが利用できます。
スマートフォンやタブレット用のOSであるiOSやAndroidでも利用できます。
このため、利用者の多い実装の一つとなっています。

そのOpenVPNで深刻な脆弱性が確認されています。

脆弱性を悪用すると対象機器上でコマンド実行ができるのですが、その一連の操作の成果として実施できる動作の一つに、VPNセッションの開始があります。
この脆弱性の悪用が成功すると、そのパソコンの利用者が認識できないうちに、勝手にVPNセッションを開始できてしまうのです。
VPNセッションの開始に際して、認証などの必要はありません。
静かにいつの間にか開始されてしまっているのです。

攻撃の前提条件としてSMBアクセスが利用できる必要があるため、この脆弱性が単独で悪用されることは考えにくいと思われます。
しかし、他の問題と組み合わせて使われてしまうことを考える場合、データの持ち出しなども自由にできるようにできてしまうことが懸念されます。

この問題は、いくつかのOpenVPNの実装に対して確認されています。
次のものが現在確認されている脆弱性です。

• CVE-2020-14498
  CVSS 9.6 – HMS Industrial Networks AB’s eCatcher
• CVE-2021-27406
  CVSS 8.8 – PerFact’s OpenVPN-Client
• CVE-2021-31338
  CVSS 7.8 – Siemens’ SINEMA RC Client
• CVE-2021-33526, CVE-2021-33527
  CVSS 7.8 – MB connect line GmbH’s mbConnect Dialup

他にも対策が必要なものがあるかもしれません。

ソフトウェアは更新された状態で利用する必要があります。
更新のタイミングを狙った攻撃の心配もありますので、ソフトウェアを更新する際は、公式からたどる形で更新を入手することをお勧めします。

参考記事（外部リンク）：Severe Code Execution Vulnerabilities Affect OpenVPN-Based
Applications
www.securityweek.com/severe-code-execution-vulnerabilities-affect-openvpn-based-applications