L’entreprise fournisseur de solution open source VPN Aviatrix, dont les clients comprennent BT, la NASA et Shell, a corrigé une vulnérabilité grave que si elle est exploitée, pourrait donner un attaquant des privilèges d’escalade sur une machine qu’ils avaient déjà accès.
Le chercheur et ingénieur de contenu d’Immersive Labs, Alex Seymour, a découvert cette vulnérabilité après avoir remarqué que le client VPN de la société était particulièrement prolixe lors du démarrage sur une machine Linux. La divulgation intervient à peine deux mois après que la NSA et le Conseil de sécurité nationale ont averti les organisations que des attaquants parrainés par l’État avaient commencé à cibler les vulnérabilités des réseaux privés virtuels.
Une situation assez surprenante
Juste après les avertissements des gouvernements britannique et américain sur les vulnérabilités des réseaux VPN, cela souligne que souvent, les technologies qui protègent les entreprises doivent être gérées aussi étroitement que leurs utilisateurs.
Ci-dessous une vidéo présentant cette entreprise en anglais :
Les gens ont tendance à penser que leur VPN est l’un des éléments les plus sécurisés de leur situation de sécurité, ce qui devrait donc être un peu un réveil pour le secteur. Les utilisateurs doivent installer le nouveau correctif le plus rapidement possible pour s’assurer qu’il n’y a pas d’exploitation à l’état sauvage.
Vulnérabilité VPN
La faille de sécurité découverte par Seymour affecte les versions Linux, macOS et FreeBSD du client Aviatrix, qui utilisent toutes les option up et down de la commande OpenVPN afin d’exécuter des scripts de shell lorsqu’une connexion VPN est établie ou interrompue.
En raison d’autorisations de fichier faibles définies sur le répertoire d’installation sous Linux et FreeBSD, un attaquant pourrait potentiellement modifier l’exécution de ces scripts avec des privilèges élevés lorsque le service backend exécutait la commande OpenVPN. Cela donnerait à un attaquant un accès aux fichiers, dossiers et services réseau s’exécutant sur une machine utilisant le VPN d’Aviatrix.