Múltiples vulnerabilidades en OpenVPN-Client de PerFact

Fecha de publicación 26/02/2021

Importancia

4 - Alta

Recursos Afectados

OpenVPN-Client, versiones 1.4.1.0 y anteriores.

Descripción

Sharon Brizinov, de Claroty, ha reportado al CISA estas vulnerabilidades, de severidad alta, que podría permitir a un atacante la escalada de privilegios local o la ejecución remota de código.

Solución

Actualizar a la versión 1.6.0.

Detalle

Un atacante podría aprovecharse de la arquitectura y enviar el comando config desde cualquier aplicación que se ejecute en el equipo anfitrión local para forzar al servidor backend a inicializar una nueva instancia de open-VPN con una configuración de open-VPN arbitraria. Esto podría resultar en la ejecución de comandos con privilegios del usuario SYSTEM. Se ha asignado el identificador CVE-2021-27406 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-21-056-01) PerFact OpenVPN-Client

Etiquetas

Actualización
Vulnerabilidad