Sự thật đáng lo ngại: Hầu hết các VPN phổ biến đều chứa các lỗi bảo mật

Trương Khánh Hợp, Hải Yến| 12/09/2018 18:21
Theo dõi ICTVietnam trên

Các nhà nghiên cứu đã phát hiện ra các lỗ hổng trong phần mềm mạng riêng ảo (VPN) phổ biến, ProtonVPN và NordVPN, có thể dẫn đến việc thực thi mã tùy chọn bởi những kẻ tấn công mạng.

Kết quả hình ảnh cho Popular VPNs contained code execution security flaws, despite patches

Tuần trước, các nhà nghiên cứu bảo mật của Cisco Talos cho biết các lỗ hổng bảo mật, CVE-2018-3952 và CVE-2018-4010, mã cho phép được thực thi bởi những kẻ tấn công trên các máy tính sử dụng hệ điều hành Windows của Microsoft .

Các lỗ hổng này tương tự như một lỗ hổng bảo mật leo thang đặc quyền tấn công Windows được phát hiện bởi VerSprite, được theo dõi dưới dạng CVE-2018-10169.

Các bản vá bảo mật đã được cả hai khách hàng áp dụng vào tháng 4 để giải quyết lỗ hổng bảo mật ban đầu, nhưng theo Talos, "mặc dù đã được sửa chữa, kẻ tấn công vẫn có thể thực thi mã như một quản trị viên trên hệ thống" thông qua một phương tiện triển khai khác.

Lỗ hổng ban đầu xảy ra là do các vấn đề thiết kế tương tự ở cả hai khách hàng. Giao diện cho cả hai tệp nhị phân NordVPN và ProtonVPN thực thi với sự cho phép của người dùng đã đăng nhập, với việc điều chỉnh tùy chọn cấu hình VPN, chẳng hạn như vị trí máy chủ VPN.

Thông tin này sau đó được gửi đến một dịch vụ mà cho phép máy tính "kết nối"  bằng một tệp cấu hình OpenVPN. Tuy nhiên, VerSprite có thể tạo một tệp OpenVPN thủ công.

Nội dung độc hại của tệp OpenVPN sau đó có thể dẫn đến giả mạo dịch vụ VPN, tiết lộ thông tin và xâm nhập thông qua các lệnh tùy chọn mở OpenVPN.

Cả hai nhà cung cấp phần mềm VPN đã triển khai cùng một bản vá, một cơ chế kiểm soát nội dung của tệp cấu hình OpenVPN.

Tuy nhiên, Cisco Talos nói rằng mã được triển khai có chứa một lỗ hổng mã hóa nhỏ cho phép kẻ tấn công tiếp tục vượt qua hàng rào ngay cả khi đã được sửa lỗi.

Trong quá trình thử nghiệm phiên bản ProtonVPN VPN phiên bản 1.5.1 và NordVPN phiên bản 6.14.28.0, các nhà nghiên cứu bảo mật nhận thấy rằng các bản sửa lỗi gốc cho cả hai máy khách VPN đều không hiệu quả và vẫn bị tấn công.

Lỗi đầu tiên, CVE-2018-3952, ảnh hưởng đến NordVPN, một dịch vụ VPN phục vụ hơn một triệu người dùng trên toàn thế giới. Lỗ hổng bảo mật thứ hai, CVE-2018-4010, ảnh hưởng đến ProtonVPN, một dịch vụ VPN tương đối mới bắt đầu từ một dự án huy động vốn từ cộng đồng.

Cả hai lỗ hổng này có thể dẫn đến leo thang đặc quyền và thực thi lệnh tùy ý.

NordVPN đã phát triển một bản sửa lỗi cuối cùng giải quyết vấn đề này vào tháng 8, trong khi ProtonVPN mất nhiều thời gian hơn và mới cho ra bản sửa lỗi hồi đầu tháng này.

Trước đây, công ty đã sử dụng một mô hình XML để tạo các tệp cấu hình OpenVPN mà người dùng không thể chỉnh sửa và sau đó, các tệp cấu hình OpenVPN được chuyển đến thư mục cài đặt, nơi người dùng chuẩn không thể sửa đổi nó.

Người dùng nên cập nhật các bản xây dựng NordVPN và ProtonVPN của mình càng nhanh càng tốt để tránh bị xâm phạm bởi lỗi của các phiên bản cũ.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Thủ tướng Phạm Minh Chính trao quyết định điều động, bổ nhiệm Tổng Giám đốc VTV
    Chiều 2/11, Thủ tướng Chính phủ Phạm Minh Chính đã trao quyết định điều động, bổ nhiệm Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Thanh Lâm giữ chức Tổng Giám đốc Đài Truyền hình Việt Nam (VTV). Cùng dự lãnh đạo các ban, bộ, ngành Trung ương và VTV.
  • Tạo "hệ sinh thái" KOL trẻ vì cộng đồng
    Sau hành trình của Đội tuyển bóng đá U23 Việt Nam năm 2018, vượt ra ngoài khuôn khổ trận đấu, mỗi cầu thủ sau khi trở về đều trở thành niềm tự hào của quê hương, đồng thời truyền cảm hứng, nối ước mơ cho thế hệ trẻ. Cùng công thức ấy, liệu có thể áp dụng cho lĩnh vực chính trị-xã hội?
  • Chiến lược "4 Mới" - chìa khóa then chốt để khai phóng giá trị kinh doanh của nhà mạng
    Trước làn sóng chuyển đổi số thông minh, chiến lược "4 Mới" không chỉ đại diện cho nỗ lực đổi mới công nghệ mạng, mà còn là động lực quan trọng để không ngừng khai phóng giá trị kinh doanh của mạng.
  • Bưu điện ra quân vận động 150.000 người tham gia BHXH
    Phát huy khí thế của ngày ra quân, các Bưu điện trung tâm trên địa bàn TP. Hồ Chí Minh quyết tâm hoàn thành mục tiêu, phấn đấu đến 31/12/2024 đạt được 15.000 người tham gia bảo hiểm xã hội tự nguyện và 900.000 người tham gia bảo hiểm y tế hộ gia đình.
  • ‏YouTube Shopping Affiliate ra mắt tại Việt Nam
    Ngày 2/11, YouTube chính thức ra mắt chương trình YouTube Shopping Affiliate tại Việt Nam, mở đầu hợp tác cùng Shopee. Chương trình này sẽ góp phần nâng cao trải nghiệm mua sắm và thúc đẩy tăng trưởng kinh tế số tại Việt Nam.
Đừng bỏ lỡ
Sự thật đáng lo ngại: Hầu hết các VPN phổ biến đều chứa các lỗi bảo mật
POWERED BY ONECMS - A PRODUCT OF NEKO