Fecha de publicación: 26/02/2021

Importancia:Alta

Recursos afectados:

OpenVPN-Client, versiones 1.4.1.0 y anteriores.

Descripción:

Sharon Brizinov, de Claroty, ha reportado al CISA estas vulnerabilidades, de severidad alta, que podría permitir a un atacante la escalada de privilegios local o la ejecución remota de código.

Solución:

Actualizar a la versión 1.6.0.

Detalle:

Un atacante podría aprovecharse de la arquitectura y enviar el comando config desde cualquier aplicación que se ejecute en el equipo anfitrión local para forzar al servidor backend a inicializar una nueva instancia de open-VPN con una configuración de open-VPN arbitraria. Esto podría resultar en la ejecución de comandos con privilegios del usuario SYSTEM. Se ha asignado el identificador CVE-2021-27406 para esta vulnerabilidad.

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad