Microsoftはこのたび、公式ブログ「Chained for attack: OpenVPN vulnerabilities discovered leading to RCE and LPE」において、OpenVPNに発見された複数の脆弱性に関する詳細情報を公開した。脆弱性の深刻度は中程度と評価されており、組み合わせることでリモートコード実行およびローカル権限昇格で構成されるサイバー攻撃に悪用できる可能性があるという。2024年3月21日にリリースされたOpenVPN 2.6.10および2.5.10にアップデートすることで、これらの脆弱性の影響を回避できる。

  • Chained for attack: OpenVPN vulnerabilities discovered leading to RCE and LPE|Microsoft Security Blog

    Chained for attack: OpenVPN vulnerabilities discovered leading to RCE and LPE|Microsoft Security Blog

悪用につながる4つの脆弱性

OpenVPNはWindowsやmacOS、iOS、Androidなど、さまざまなプラットフォームにおいて広く利用されているオープンソースのVPNソリューション。Microsoftによれば、同社の研究チームは2024年3月に次の4つの脆弱性を発見し、OpenVPNプロジェクトに報告したという。

  • CVE-2024-27459: Windowsプラットフォームでサービス拒否(DoS)およびローカル権限昇格を引き起こす可能性がある脆弱性
  • CVE-2024-24974: Windowsプラットフォームで不正アクセスを許す可能性がある脆弱性
  • CVE-2024-27903: Windowsプラットフォームでリモートコード実行を、Android/iOS/macOS/BSDでローカル権限昇格やデータ操作を引き起こす可能性がある脆弱性
  • CVE-2024-1305: Windows TAPドライバーを通じてサービス拒否(DoS)を引き起こす可能性がある脆弱性

このうち、CVE-2024-1305はOpenVPNで使用されるターミナル アクセス ポイント (TAP) アダプタのドライバーに含まれる脆弱性で、攻撃者が設定するパラメータによってメモリオーバーフローが発生する危険性があるというもの。CVE-2024-27459はOpenVPNのクライアントプログラムであるopenvpn.exeプロセスとopenvpnserv.exeサービス間の通信メカニズムに存在する脆弱性で、openvpnserv.exeサービスがopenvpn.exeプロセスからメッセージを読み込む際にスタックオーバーフローが発生する可能性がある。

CVE-2024-24974は、openvpnserv.exeサービスが新しいopenvpn.exeプロセスを生成するメカニズムにおいて、攻撃者がリモートから名前付きパイプと不正に対話できる可能性があるという脆弱性になる。そしてCVE-2024-27903はOpenVPNのプラグインメカニズムに発見された脆弱性で、エンドポイントのデバイス上のさまざまなパスから、攻撃者が有害なプラグインをロードをロードさせることができるという。

もし攻撃者が何らかの方法でユーザーのOpenVPN認証情報を入手できた場合、これらの脆弱性を組み合わせることによって、リモートコード実行やローカル権限昇格を含むさまざまな攻撃に悪用できる可能性がある。

  • OpenVPNのクライアントアーキテクチャー 出典:Microsoft Security Blog

    OpenVPNのクライアントアーキテクチャー 出典:Microsoft Security Blog

影響範囲と対策

Microsoftの報告では、OpenVPN 2.6.9および2.5.9までのすべてのバージョンが、これらの脆弱性の影響を受けるとされている。

OpenVPNプロジェクトからは、すでに対策版であるOpenVPN 2.6.10および2.5.10がリリースされている。これらのバージョンにアップデートすることで、脆弱性の影響を回避することができる。

Microsoftでは、脆弱性の内容や影響範囲を確認した上で、早急に最新のパッチを適用することを推奨している。