ALERTAS | Noticias | 01 OCT 2014

OpenVPN es vulnerable a Shellshock en determinadas configuraciones

Tags: Seguridad
OpenVPN no era inmune a Heartbleed y ahora tampoco lo es a Shellshock. Así lo afirma un investigador de Mullvad, que asegura que el vector de ataque en OpenVPN es particularmente peligroso, porque pone en riesgo todas las comunicaciones que se produzcan a través de un supuesto túnel seguro.
seguridad_openVPN_alerta
Hilda Gómez

OpenVPN es un software multiplataforma de código abierto que permite crear redes privadas virtuales. Pues bien, parece que su seguridad deja mucho que desear, o al menos así lo afirma Fredrick Stromberg, cofundador de Mullvad, una compañía sueca de VPN, quien asegura que los servidores OpenVPN son vulnerables a Shellshock, la vulnerabilidad en Bash que amenaza a sistemas Linux, UNIX y Mac OS X.

Stromberg señala que el vector de ataque en OpenVPN es particularmente peligroso porque es pre-autenticación, poniendo en riesgo toda la comunicación a través de un túnel supuestamente seguro. “Cuando descubrimos la vulnerabilidad la semana pasada nos pusimos en contacto con la comunidad VPN, así como con muchos de nuestros colegas. Teniendo en cuenta el elevado número de usuarios que podrían verse potencialmente afectados, decidimos advertir a los principales proveedores de VPN”, ha señalado Stromberg en un post.

Al parecer, OpenVPN es vulnerable a Shellshock sólo en determinadas configuraciones. En este sentido, Gert Doering, portavoz de la comunidad OpenVPN, asegura que OpenVPN es vulnerable sólo en sistemas en los que /bin/sh apunta a /bin/bash, o si un script que ejecuta utilizando bash como intérprete se llama explícitamente.

"Lo que hay que hacer desde el punto de vista de OpenVPN es asegurarse de que no está utilizando la versión 2.2.x y no ejecuta los scripts usando bash ("#!/ Bin/bash"). Además, siempre debe utilizar certificados de cliente, ya que el script de verificación de nombre de usuario, que es el vector de ataque aquí, sólo se emplea una vez comprobado con éxito un certificado de cliente. Por supuesto, debe actualizar sus sistemas en el momento oportuno", aconseja Doering.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información