OpenVPN hekelt Microsoft over gebruik van term 'zero-days'
De makers van OpenVPN hebben uitgehaald naar Microsoft wegens het gebruik van de term 'zero-days' die in het veelgebruikte vpn-protocol aanwezig zouden zijn. OpenVPN behoort tot de meestgebruikte protocollen voor het opzetten van vpn-verbindingen. Microsoft-onderzoeker Vladimir Tokarev ontdekte verschillende kwetsbaarheden in het protocol, die volgens de onderzoeker miljoenen OpenVPN-endpoints wereldwijd raken. Via de beveiligingslekken zou onder andere remote code execution mogelijk zijn. In maart van dit jaar kwam OpenVPN met updates en beveiligingsbulletins voor de gevonden problemen.
Afgelopen donderdag gaf Tokarev tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie met de titel 'OVPNX: 4 Zero-Days Leading to RCE, LPE and KCE (via BYOVD) Affecting Millions of OpenVPN Endpoints Across the Globe'. Microsoft kwam op dezelfde dag met een blogposting waarin het meer details gaf. Twee van de vier kwetsbaarheden (CVE-2024-1305 en CVE-2024-27903) zijn als kritiek aangemerkt.
Tijdens de presentatie liet Tokarev zien hoe de verschillende kwetsbaarheden zijn te combineren om kwetsbare systemen over te nemen. De aanval gaf hij de naam OVPNX. In zowel de titel als de omschrijving van zijn presentatie spreekt de onderzoeker geregeld over 'zero-days'. Volgens de makers van OpenVPN zijn de claims van de Microsoft-onderzoeker dat er zero-days in OpenVPN aanwezig zijn, waardoor de 'OVPNX'-aanval mogelijk is, onjuist.
"De definitie van zerodaylekken is dat details openbaar zijn, maar er geen patch beschikbaar is. De OpenVPN-community heeft in maart 2024 een nieuwe versie uitgebracht met de oplossingen en details. Daarom zijn dit gewoon geen zerodaylekken", aldus het OpenVPN-ontwikkelteam. Dat heeft zelf ook meer details over de kwetsbaarheden gegeven. Zo zou een aanvaller al vergaande toegang tot een systeem moeten hebben om de kwetsbaarheden te misbruiken. "Voldoende toegang dat je waarschijnlijk deze kwetsbaarheden niet hoeft te misbruiken."
Dan heet dat arrogantie of laksheid ;-).
Microsoft is op dreef van het vinden van kritieke lekken in software van derden. Op zich goed dat ze ook die bekijken. Het is ook vaak via die weg dat er een overname gedaan kan worden van het systeem. Waarbij dan het OS Windows is.
Dat er dan kritiek komt op de naamgeving van deze lekken, Vind ik persoonlijk een beetje kinderachtig. Wees blij dat het gevonden is. Het is opensource en iedereen helpt en draagt bij.
De kritiek is zeker terecht. Deze onderzoeker laat zien dat hij zijn vak niet beheerst. De definitie van zero-day is zo alom bekend en geaccepteerd, dat deze Vladimir Tokarev door de mand valt als deskundige.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.