Kritieke bug in OpenVPN kan leiden tot servercrashes en remote code installatie

Kritieke bug in OpenVPN kan leiden tot servercrashes en remote code installatie

Door

De OpenVPN-gemeenschap heeft een kritieke beveiligingsupdate uitgebracht — OpenVPN 2.6.14 — om een serverkwetsbaarheid (CVE-2025-2704) te patchen die misbruikt kan worden om VPN-servers met de optie –tls-crypt-v2 te laten crashen. Hoewel het lek geen versleutelde gegevens compromitteert of mogelijkheden biedt voor code-uitvoering, kan het wel leiden tot een denial of service (DoS) — wat mogelijk beveiligde communicatiekanalen voor gebruikers wereldwijd verstoort.

OpenVPN-versies 2.6.1 tot en met 2.6.13 zijn kwetsbaar als ze zijn geconfigureerd met de optie –tls-crypt-v2 ingeschakeld. Deze configuratie wordt vaak gebruikt om TLS-controlechannel-pakketten te versleutelen en te authenticeren, wat sterkere privacy en anti-DPI (Deep Packet Inspection) bescherming biedt.

“Bij ontvangst van een bepaalde combinatie van inkomende pakketten, sommige geautoriseerd en sommige misvormd, raakt de clientstatus op de server beschadigd en wordt een zelfcontrole geactiveerd die de server afsluit met een ASSERT-bericht,” vermeldt het beveiligingsadvies.

Een assertiefout, die de server laat crashen — en in een productie-VPN-omgeving kan dat onderbroken verbindingen betekenen voor honderden of duizenden gebruikers.

Volgens het OpenVPN-advies:

De aanvaller moet ofwel:
In bezit zijn van een geldige tls-crypt-v2 client-sleutel, of
Netwerkverkeer monitoren en speciaal vervaardigde pakketten injecteren tijdens de TLS-handshake.
Wanneer de juiste combinatie van legitieme en misvormde pakketten de server bereikt, raakt de clientstatus beschadigd.

De server, die interne inconsistenties detecteert, activeert een ASSERT-instructie en stopt onmiddellijk.

Hoewel alarmerend, compromitteert CVE-2025-2704 geen versleuteling of maakt het geen gegevensdiefstal mogelijk. “Er wordt geen cryptografische integriteit geschonden, er lekken geen gegevens en er is geen uitvoering van code op afstand mogelijk,” bevestigt het advies.

Als je een OpenVPN-server met –tls-crypt-v2 gebruikt, kun je je zo beschermen:

  • Upgrade onmiddellijk naar OpenVPN 2.6.14
  • Als upgraden niet direct mogelijk is, schakel –tls-crypt-v2 uit als tijdelijke workaround (hoewel dit privacyfuncties kan verzwakken)

Lees meer op https://gbhackers.com/openvpn-flaw/

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (Open Source, Patches, Software ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Maarten Schouten is Digital Specialist bij SolidBE. Hij doet onderzoek en schrijft artikelen over de meest uiteenlopende onderwerpen binnen het netwerk en security domein. Ook houdt hij het nieuws bij op ons blog.

Meer artikelen van Maarten Schouten | @LinkedIN

Tags: Open Source, Patches, Software
Lees meer

Ook interessant

Scroll naar boven