CSRF-Lücke im OpenVPN Access Server geschlossen
Durch eine Schwachstelle können sich Angreifer potenziell VPN-Zugänge erschleichen.
Lesezeit:
1 Min.
Von
- Ronald Eikenberg
Das OpenVPN-Team hat eine Schwachstelle in seinem Access Server geschlossen, durch die sich ein Angreifer VPN-Accounts erschleichen kann. Das Sicherheitsloch klafft in der Access-Server-Version 1.8.4, vermutlich sind aber auch ältere betroffen. Die abgesicherte Version trägt die Nummer 1.8.5.
Bei der Lücke handelt es sich um Cross-Site-Request-Forgery (CSRF): Der Angreifer lockt den Admin dabei auf eine speziell präparierte Webseite, welche im Namen das Admins mit der Konfigurationsseite des Access Servers spricht. Ist der Admin authentfiziert, kann die Angriffsseite seine SItzung missbrauchen, um neue VPN-Accounts anzulegen. (rei)
