Nieuws
image

OpenVPN hekelt Microsoft over gebruik van term 'zero-days'

maandag 12 augustus 2024, 11:25 door Redactie, 7 reacties

De makers van OpenVPN hebben uitgehaald naar Microsoft wegens het gebruik van de term 'zero-days' die in het veelgebruikte vpn-protocol aanwezig zouden zijn. OpenVPN behoort tot de meestgebruikte protocollen voor het opzetten van vpn-verbindingen. Microsoft-onderzoeker Vladimir Tokarev ontdekte verschillende kwetsbaarheden in het protocol, die volgens de onderzoeker miljoenen OpenVPN-endpoints wereldwijd raken. Via de beveiligingslekken zou onder andere remote code execution mogelijk zijn. In maart van dit jaar kwam OpenVPN met updates en beveiligingsbulletins voor de gevonden problemen.

Afgelopen donderdag gaf Tokarev tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie met de titel 'OVPNX: 4 Zero-Days Leading to RCE, LPE and KCE (via BYOVD) Affecting Millions of OpenVPN Endpoints Across the Globe'. Microsoft kwam op dezelfde dag met een blogposting waarin het meer details gaf. Twee van de vier kwetsbaarheden (CVE-2024-1305 en CVE-2024-27903) zijn als kritiek aangemerkt.

Tijdens de presentatie liet Tokarev zien hoe de verschillende kwetsbaarheden zijn te combineren om kwetsbare systemen over te nemen. De aanval gaf hij de naam OVPNX. In zowel de titel als de omschrijving van zijn presentatie spreekt de onderzoeker geregeld over 'zero-days'. Volgens de makers van OpenVPN zijn de claims van de Microsoft-onderzoeker dat er zero-days in OpenVPN aanwezig zijn, waardoor de 'OVPNX'-aanval mogelijk is, onjuist.

"De definitie van zerodaylekken is dat details openbaar zijn, maar er geen patch beschikbaar is. De OpenVPN-community heeft in maart 2024 een nieuwe versie uitgebracht met de oplossingen en details. Daarom zijn dit gewoon geen zerodaylekken", aldus het OpenVPN-ontwikkelteam. Dat heeft zelf ook meer details over de kwetsbaarheden gegeven. Zo zou een aanvaller al vergaande toegang tot een systeem moeten hebben om de kwetsbaarheden te misbruiken. "Voldoende toegang dat je waarschijnlijk deze kwetsbaarheden niet hoeft te misbruiken."

Reacties (7)
Reageer met quote
12-08-2024, 11:34 door Bitje-scheef - Bijgewerkt: 12-08-2024, 11:34
Als een software fabrikant een lek bewust niet meeneemt in een update, maar dit nog niet openbaar is. Is het dan nog steeds een "Zero Day" ?
Reageer met quote
12-08-2024, 11:48 door Anoniem
Door Bitje-scheef: Als een software fabrikant een lek bewust niet meeneemt in een update, maar dit nog niet openbaar is. Is het dan nog steeds een "Zero Day" ?

Dan heet dat arrogantie of laksheid ;-).

Microsoft is op dreef van het vinden van kritieke lekken in software van derden. Op zich goed dat ze ook die bekijken. Het is ook vaak via die weg dat er een overname gedaan kan worden van het systeem. Waarbij dan het OS Windows is.

Dat er dan kritiek komt op de naamgeving van deze lekken, Vind ik persoonlijk een beetje kinderachtig. Wees blij dat het gevonden is. Het is opensource en iedereen helpt en draagt bij.
Reageer met quote
12-08-2024, 11:49 door Anoniem
He hallo het gaat hier om een Microsoft zealot die het nodig vindt om de boel op te krikken door de definitie te verdraaien met het doel dat er niet alleen onderzoekers zijn die zero days in MS software bekend maken. Het is ook verdacht dat het altijd externen zijn die deze zero day problemen bekend maken en nooit een MS medewerker zelf.
Reageer met quote
12-08-2024, 11:49 door Anoniem
Door Bitje-scheef: Als een software fabrikant een lek bewust niet meeneemt in een update, maar dit nog niet openbaar is. Is het dan nog steeds een "Zero Day" ?
Op zich wel, zou ik zeggen, want dan is het lek er nog steeds. Dat is alleen niet wat hier gebeurd is. Als je op de "uitgehaald"-link in het artikel hierboven klikt zie je inderdaad maar drie van de vier lekken opgesomd worden, maar als je op de "beveiligingsbulltins"-link klikt zie je dat ze op 20 maart alle vier gerepareerd waren.
Reageer met quote
12-08-2024, 12:02 door Anoniem
Het klopt dat OpenVPN in maart een nieuwe versie uitbracht, maar het is wel markant dat ze tot eind juni hebben gewacht om dit ook op te nemen in de OpenVPN Access Server (het commerciële product van OpenVPN). In de tussenliggende maanden was het probleem dus wel bekend maar zonder fix voor de betalende klanten.
Reageer met quote
12-08-2024, 14:13 door Briolet
Door Anoniem: Dat er dan kritiek komt op de naamgeving van deze lekken, Vind ik persoonlijk een beetje kinderachtig. Wees blij dat het gevonden is. Het is opensource en iedereen helpt en draagt bij.

De kritiek is zeker terecht. Deze onderzoeker laat zien dat hij zijn vak niet beheerst. De definitie van zero-day is zo alom bekend en geaccepteerd, dat deze Vladimir Tokarev door de mand valt als deskundige.
Reageer met quote
12-08-2024, 15:26 door Anoniem
Door Anoniem: Het klopt dat OpenVPN in maart een nieuwe versie uitbracht, maar het is wel markant dat ze tot eind juni hebben gewacht om dit ook op te nemen in de OpenVPN Access Server (het commerciële product van OpenVPN). In de tussenliggende maanden was het probleem dus wel bekend maar zonder fix voor de betalende klanten.
Extra testing, regressie tests etc.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure