Skip to main content

Denna populära VPN har drabbats av ett stort säkerhetsproblem

VPN
(Foto: Shutterstock.com)

En säkerhetsforskare har upptäckt en ny sårbarhet i VPN-tjänsten SaferVPN som kan möjliggöra lokal Privilege-eskalering på Windows-system.

Denna sårbarhet upptäcktes av en forskare känd som nmht3t, som tidigare avslöjade det faktum att SaferVPN tyst åtgärdat en DoS-sårbarhet i sin VPN-tjänst i september förra året. I ett nytt blogginlägg på Medium, förklarade mmht3t varför han valt att offentliggöra sin senaste upptäckt och sade:

SaferVPN har inte åtgärdat denna sårbarhet även efter en tidsfrist på 90 dagar. Det finns för närvarande ingen patch tillgänglig för denna produkt. För att informera användarna om sårbarheten beslutade jag mig för att offentliggöra bristen.”

Säkerhetsforskare ger ofta företag en tidsfrist på 90 dagar för att åtgärda eventuella sårbarheter innan de går ut med information om dem offentligt. Eftersom SaferVPN misslyckades med att åtgärda den senaste sårbarheten i tid, kände mmht3t att det var i användarnas bästa intresse att varna dem för det.

Lokal Privilege escalation-sårbarhet

Enligt mmht3ts sammanfattning av sårbarheten, startas OpenVPN-programmet i sammanhanget av ett NT AUTHORITY\SYSTEM när SaferVPN försöker ansluta till en VPN-server. Tjänstens VPN-klient försöker sedan ladda en openssl.cnf-konfigurationsfil från en icke-befintlig mapp (C:\etc\ssl\openssl.cnf).

Men eftersom LUA-användare kan skapa mappar under C:\ i Windows, är det dock möjligt för dem att skapa rätt sökväg och placera en openssl.cnf-fil i den. När OpenVPN sedan startas i SaferVPN, kan den här filen ladda ett skadligt bibliotek för en OpenSSL-motor, vilket möjliggör exekvering av godtycklig kod som SYSTEM.

SaferVPN-versionerna 5.0.3.3 till 5.04.15 är sårbara för denna säkerhetsbrist spårad som CVE-2020–26050.

Mmht3t upptäckte först denna sårbarhet tidigare under förra året och skickade detaljerna om sårbarheten till SaferVPN i juli. Efter att inte ha fått något svar från företaget, informerade han dem sedan om att tidsfristen för offentliggörande på 90 dagar närmade sig, innan han slutligen beslutade sig för att offentliggöra sina resultat i januari.