Onderzoekers van Cisco hebben in SoftEther VPN meerdere kwetsbaarheden gevonden waardoor het mogelijk is voor aanvallers om het verkeer van gebruikers te onderscheppen of code op kwetsbare systemen uit te voeren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware.
Een kritieke kwetsbaarheid in de software (CVE-2023-27395) maakt het mogelijk voor een aanvaller door het versturen van een speciaal geprepareerd netwerkpakket om willekeurige code op het systeem van de gebruiker uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.0.
Twee andere kwetsbaarheden (CVE-2023-32634 en CVE-2023-27516) geven een ongeautoriseerde aanvaller toegang tot de vpn-sessie. Vervolgens kan de aanvaller via zijn eigen certificaat een man-in-the-middle-aanval uitvoeren, zonder dat de gebruiker hier een melding van krijgt, of de authenticatie-instellingen van de vpn achterhalen, en het systeem van de gebruiker zo verder compromitteren. Cisco waarschuwde de ontwikkelaars afgelopen juni, die twee weken later met een update kwamen. De kwetsbaarheden zijn nu openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.