El popular software OpenVPN que sirve para crear servidores VPN y conectarnos a ellos, tiene una vulnerabilidad que podría permitir un ataque de denegación de servicio contra el servidor. De esta forma, un atacante podría dejar al servidor sin conexión y por tanto, los clientes no se podrían conectar a él. En la actualidad hay muchos servicios de VPN que utilizan este software OpenVPN para crear las redes privadas virtuales, estos servicios son los más afectados por esta vulnerabilidad ya que tienen a miles de clientes.
¿Cómo se explota la vulnerabilidad?
Esta vulnerabilidad fue descubierta por Dragana Damjanovic y fue notificado a los desarrolladores de OpenVPN como crítica ya que podría dejar sin servicio. El CVE asociado a esta vulnerabilidad es el CVE-2014-8104. Esta vulnerabilidad permite a un cliente autenticado vía TLS enviar un pequeño paquete al servidor para que colapse. Es importante avisar que esta vulnerabilidad es únicamente DoS, los datos transferidos desde el cliente al servidor y viceversa no se ven comprometidos en ningún momento (ni confidencialidad ni autenticación), únicamente lo dejaremos sin servicio.
Versiones afectadas
Esta vulnerabilidad afecta a todas las versiones de OpenVPN 2.X lanzadas desde el año 2005, aunque es posible que otras versiones anteriores también estén afectadas. Las versiones de OpenVPN para Android y iOS no están afectadas porque esta vulnerabilidad únicamente se encuentra en el lado del servidor.
Cómo mitigar este fallo de seguridad
Este fallo de seguridad únicamente lo pueden desencadenar usuarios que están autenticados en el servidor a través de TLS, por tanto bastaría con tener a un cliente no-malicioso conectado a nuestro servidor, ya que no desencadenará el DoS. Sin embargo, los proveedores de redes privadas virtuales sí podrían tener un problema mayor debido a todos los clientes que tienen. No obstante, OpenVPN ya ha lanzado una actualización.
Nuevas versiones con el parche
La versión de OpenVPN que soluciona este fallo de seguridad es la OpenVPN 2.3.6 que fue lanzada el 1 de diciembre, este parche también se ha portado a las versiones OpenVPN 2.2.X con la 2.2.3 pero únicamente en el código fuente.
Os recomendamos leer el anuncio de seguridad del equipo de desarrollo de OpenVPN. Os recomendamos leer nuestro tutorial sobre configuración OpenVPN con certificados digitales TLS/SSL.