{"id":154179,"date":"2024-08-12T09:46:23","date_gmt":"2024-08-12T09:46:23","guid":{"rendered":"https:\/\/www.redeszone.net\/?post_type=noticias&amp;p=842469"},"modified":"2024-08-12T09:46:23","modified_gmt":"2024-08-12T09:46:23","slug":"microsoft-encuentra-4-vulnerabilidades-en-openvpn-es-tan-grave-como-parece","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2024\/08\/12\/microsoft-encuentra-4-vulnerabilidades-en-openvpn-es-tan-grave-como-parece\/","title":{"rendered":"Microsoft encuentra 4 vulnerabilidades en OpenVPN, \u00bfes tan grave como parece?"},"content":{"rendered":"<div><img src=\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2024\/08\/microsoft-encuentra-4-vulnerabilidades-en-openvpn-es-tan-grave-como-parece.jpg\" class=\"ff-og-image-inserted\"><\/div>\n<div never readability=\"16\">\n<p>Durante la popular conferencia de ciberseguridad <strong>Black Hat USA 2024<\/strong>, un equipo de investigadores de Microsoft han publicado m\u00faltiples errores que afectan al popular software <strong>OpenVPN<\/strong>. Este software es uno de los m\u00e1s utilizados a nivel dom\u00e9stico y profesional, para <strong>levantar t\u00faneles VPN con cifrado seguro y privado<\/strong>, por lo que encontrar un fallo de seguridad en este software es bastante importante. Las vulnerabilidades tienen una gravedad media, pero si encadenamos todos ellos, se podr\u00eda dar el caso en que se lograse ejecuci\u00f3n remota de c\u00f3digo, y tambi\u00e9n una escalada de privilegios. \u00bfQuieres conocer qu\u00e9 vulnerabilidades han encontrado y c\u00f3mo protegerse de ellas?<\/p>\n<\/div>\n<div readability=\"52.851682368775\"><span readability=\"28\"><\/p>\n<p>Cuando usamos una VPN, como puede ser OpenVPN o WireGuard, pretendemos que todas las comunicaciones sean seguras, aplicando cifrado de datos punto a punto, y tambi\u00e9n autenticidad a todos esos datos. Si el software que tenemos instalado en nuestro dispositivo tiene una vulnerabilidad, un posible atacante podr\u00eda poner en jaque la conexi\u00f3n que supuestamente era privada.<\/p>\n<h2>Vulnerabilidades encontradas<\/h2>\n<p>El equipo de investigadores de Microsoft han encontrado un total de cuatro vulnerabilidades en el software de OpenVPN para Windows, pero una de ellas tambi\u00e9n afectar\u00eda a las versiones de OpenVPN para Android, iOS, macOS y BSD. A continuaci\u00f3n, ten\u00e9is todas las vulnerabilidades explicadas:<\/p>\n<ul>\n<li><strong>CVE-2024-27459<\/strong>: el servicio de OpenVPN con versi\u00f3n 2.6.9 y anteriores, podr\u00eda permitir que un atacante env\u00ede datos causando un desbordamiento de pila, y podr\u00eda ser usado para ejecutar c\u00f3digo arbitrario con m\u00e1s privilegios. El impacto que tiene este fallo de seguridad, es que se podr\u00eda ocasionar un ataque de denegaci\u00f3n de servicio al software, y tambi\u00e9n una escalada de privilegios local.<\/li>\n<li><strong>CVE-2024-24974<\/strong>: el servicio de OpenVPN con versi\u00f3n 2.6.9 y anteriores, permite acceder al canal de servicio de OpenVPN de forma remota, lo que permitir\u00eda que un atacante remoto interactuara con el servicio interactivo privilegiado del software. El impacto de este fallo de seguridad es que podr\u00edan tener un acceso no autorizado.<\/li>\n<li><strong>CVE-2024-27903<\/strong>: los complementos de OpenVPN con versi\u00f3n 2.6.9 y anteriores, se pueden cargar desde cualquier directorio, por lo que un atacante podr\u00eda cargar un complemento arbitrario que pueda usarse para interactuar con el servicio interactivo privilegiado del software. El impacto de este fallo, es que podr\u00eda haber ejecuci\u00f3n remota de c\u00f3digo en Windows. Tambi\u00e9n afecta a Android, iOS, macOS y BSD, ya que podr\u00edan sufrir una escalada de privilegios y manipulaci\u00f3n de datos.<\/li>\n<li><strong>CVE-2024-1305<\/strong>: el driver tap-windows6 con versi\u00f3n 9.26 y anteriores, no verifica correctamente los datos de tama\u00f1o de la operaciones de escritura entrantes, por lo que un atacante podr\u00eda usarlo para desbordar los buffers de memoria, lo que dar\u00eda como resultado una verificaci\u00f3n de errores y una posible ejecuci\u00f3n de c\u00f3digo en el espacio del kernel.<\/li>\n<\/ul>\n<p>Como pod\u00e9is ver, el equipo de Microsoft ha encontrado bastantes fallos de seguridad, lo que podr\u00eda comprometer nuestros t\u00faneles VPN. Aunque todos estos fallos est\u00e1n catalogados como severidad media, lo cierto es que encadenando varios de estos fallos, se podr\u00eda llegar a comprometer el servidor. El equipo de desarrollo de OpenVPN ha tratado este asunto con bastante urgencia, y lanzaron al versi\u00f3n parcheada muy poco tiempo despu\u00e9s.<\/p>\n<h2>Los fallos ya han sido corregidos<\/h2>\n<p><\/span> <span readability=\"18.376156217883\"><\/p>\n<p>Todos los fallos de seguridad encontrados se han solucionado en la versi\u00f3n OpenVPN 2.6.10 y siguientes, as\u00ed que os recomendamos actualizar el software cuanto antes, si es que no lo ten\u00edas ya actualizado. Microsoft inform\u00f3 a OpenVPN sobre estos fallos en Marzo de 2024, y lanzaron una actualizaci\u00f3n urgente para solucionar todos estos problemas. Si quer\u00e9is saber en detalle c\u00f3mo encontraron todos estos fallos de seguridad, y c\u00f3mo es la arquitectura interna de OpenVPN, en la <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/08\/08\/chained-for-attack-openvpn-vulnerabilities-discovered-leading-to-rce-and-lpe\/\" target=\"_blank\" rel=\"noopener nofollow noreferrer\"><strong>web oficial de Microsoft<\/strong><\/a> ten\u00e9is todos los detalles t\u00e9cnicos.<\/p>\n<p>Os recomendamos visitar nuestro tutorial de c\u00f3mo <a href=\"https:\/\/www.redeszone.net\/tutoriales\/vpn\/openvpn-instalacion-configuracion\/\"><strong>configurar un servidor OpenVPN<\/strong><\/a>, uno de los mejores softwares para establecer t\u00faneles seguros, y que muchos fabricantes de routers han incorporado a sus equipos para conectarnos a la red local dom\u00e9stica de forma segura. Tambi\u00e9n pod\u00e9is visitar nuestro <a href=\"https:\/\/www.redeszone.net\/tutoriales\/vpn\/wireguard-vpn-configuracion\/\"><strong>tutorial de WireGuard VPN<\/strong><\/a>, un protocolo mucho m\u00e1s r\u00e1pido, igual de seguro, y mucho m\u00e1s f\u00e1cil de configurar que OpenVPN.<\/p>\n<p> <\/span><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Durante la popular conferencia de ciberseguridad Black Hat USA 2024, un equipo de investigadores de Microsoft han publicado m\u00faltiples errores que afectan al popular software OpenVPN. Este software es uno de los m\u00e1s utilizados a nivel dom\u00e9stico y profesional, para levantar t\u00faneles VPN con cifrado seguro y privado, por lo que encontrar un fallo de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":154180,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/154179"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=154179"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/154179\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/154180"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=154179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=154179"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=154179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}