OpenVPN開発者は、デスクトップクライアントを使用するユーザーがすぐに更新を実行することをお勧めします。 これは、攻撃者が被害者のコンピューターにリモートアクセスできるCSRFなどの攻撃の可能性によるものです。
オーストリアのセキュリティ研究者は、今年5月にこの脆弱性を発見しました。 古くなったソフトウェアを使用して悪意のあるWebサイトにアクセスすると、ユーザーは自分のPCにアクセスするリスクを冒します。
OpenVPNアクセスサーバーは、2つの部分で構成されています。
1)XML-RPCの形式でサーバーとユーザー間の対話の可能性を提供するサービス。
2)APIを介してサービスに接続するユーザーインターフェイス。
XML-RPC APIは、クロスサイトリクエストフォージェリ(CSRF)に対して脆弱です。 一部のAPIコマンドを使用すると、攻撃者は被害者の実際のIPアドレスを取得し、トラフィックを自分のサーバーにリダイレクトし(MITM攻撃)、ユーザーのコンピューターでシステム権限を使用して任意のコードを実行できます。
OpenVPNは複数の異なるVPNとセキュリティサービスを提供しますが、Windowsデスクトップクライアントのみが脆弱です。
Windowsでデスクトップアプリケーションを使用するすべてのクライアントは、OpenVPN Connectに変更する必要があります。
脆弱性ビデオ