OpenVPNに発見された複数の脆弱性の情報公開、Microsoft

CVE-2024-24974は、openvpnserv.exeサービスが新しいopenvpn.exeプロセスを生成するメカニズムにおいて、攻撃者がリモートから名前付きパイプと不正に対話できる可能性があるという脆弱性になる。そしてCVE-2024-27903はOpenVPNのプラグインメカニズムに発見された脆弱性で、エンドポイントのデバイス上のさまざまなパスから、攻撃者が有害なプラグインをロードをロードさせることができるという。

もし攻撃者が何らかの方法でユーザーのOpenVPN認証情報を入手できた場合、これらの脆弱性を組み合わせることによって、リモートコード実行やローカル権限昇格を含むさまざまな攻撃に悪用できる可能性がある。

○影響範囲と対策

Microsoftの報告では、OpenVPN 2.6.9および2.5.9までのすべてのバージョンが、これらの脆弱性の影響を受けるとされている。

OpenVPNプロジェクトからは、すでに対策版であるOpenVPN 2.6.10および2.5.10がリリースされている。これらのバージョンにアップデートすることで、脆弱性の影響を回避することができる。

Microsoftでは、脆弱性の内容や影響範囲を確認した上で、早急に最新のパッチを適用することを推奨している。
（杉山貴章）