Poważna podatność w OpenVPN Connect – mogły wyciec klucze prywatne użytkowników

Zaczynają się pojawiać informacje o podatności CVE-2024-8474 dotykającej OpenVPN Connect do wersji 3.5.0 (włącznie)  – darmowego, wieloplatformowego klienta rozwijanego przez OpenVPN Inc. Wedle opublikowanych zgłoszeń, logi aplikacyjne mogą zawierać profil konfiguracyjny oraz przede wszystkim, niezaszyfrowany klucz prywatny użytkownika. Podatność wyceniono na 7.5 w skali CVSS. 

Atakujący posiadający dostęp do takowych logów (które nie muszą być zabezpieczone z taką dbałością jak klucz prywatny użytkownika) może odzyskać zawartość transmisji przesyłanych przez użytkownika, naruszając poufność komunikacji. 

Na razie nie ma zbyt wielu szczegółów (pewnie też z powodu tego, że aplikacja nie jest na licencji otwartoźródłowej), jednak użytkownicy korzystający z OpenVPN Connect powinni jak najszybciej zrobić aktualizację. Bardziej zaawansowanym użytkownikom zalecamy też zbadanie logów aplikacji, aby potwierdzić, czy ten problem rzeczywiście dotyczy ich konfiguracji. Należy również przemyśleć ponowne wygenerowanie poświadczeń, jeśli zachodzi ryzyko, że klucz prywatny mógł dostać się w niepowołane ręce. 

~fc