Máy Chủ OpenVPN Có Bị Ảnh Hưởng Bởi Shellshock?

Máy chủ OpenVPN có bị ảnh hưởng bởi Shellshock

Theo cập nhật mới của trang thuê máy chủ ảo 

Với lỗ hổng bảo mật Shellshock mới được phát hiện gần đây đã gây ảnh hưởng rất lớn tới nhiều doanh nghiệp, nhiều lĩnh vực khác nhau. Câu hỏi đặt ra ở đây với máy chủ openVPN (OpenVPN là một phần mềm mạng riêng ảo với mã nguồn mở dành cho việc tạo các đường ống điểm-tới-điểm được mã hóa giữa các máy chủ) là máy chủ OpenVPN có bị ảnh hưởng bởi Shellshock 

Theo ông Fredrick Strömberg và Mullvad, công ty chuyên cung cấp dịch vụ VPN (Thụy Điển) gần đây đã phát hiện ra các máy chủ VPN nền tảng OpenVPN có thể bị nguy hiểm vì ảnh hưởng của lỗ hổng bảo mật

Để giải thích vì sao các máy chủ OpenVPN có thể bị tấn công, chuyên gia nghiên cứu trên cho rằng:

- OpenVPN có rất nhiều các tùy chọn cấu hình có thể tùy biến thực hiện các câu lệnh khác nhau trong từng giai đoạn khác nhau của một phiên kết nối an toàn VPN.

- Trong số những lệnh này, có khá nhiều câu lệnh có thể gọi những tham biến từ môi trường mà có thể được điều khiển bởi người dùng.

- Người dùng OpenVPN có thể gặp nguy hiểm từ lỗ hổng shellshock nếu quá trình xác thực tên/mật khẩu được cấu hình cho phép chuyển những thông tin đăng nhập vào các đoạn script xác thực dựa trên Bash thông qua các biến môi trường. Và nếu các máy chủ OpenVPN được cấu hình để yêu cầu giấy phép xác thực từ người dùng, những máy chủ này cũng có thể phải đối mặt với nguy cơ bị tấn công bởi chính những người dùng đã được xác thực.

Tuy nhiên, các máy chủ OpenVPN Access Server sẽ không bị ảnh hưởng bởi lỗi bảo mật Shellshock này. Vì mặc định, quá trình xác thực người dùng được cấu hình để thực hiện ngay trên OpenVPN Access Server thay vì gọi các đoạn script từ bên ngoài. Được biết, cơ chế ‘post_auth’ trên OpenVPN Access Server cũng không bị ảnh hưởng bởi lỗi bảo mật này – vì những đoạn script này được viết bởi Python và được tải trực tiếp từ trình biên dịch Python vốn không liên quan đến Bash hay cần dùng đến các biến môi trường trong quá trình xác thực người dùng.

Đại diện của OpenVPN cho biết người dùng tốt nhất nên ngừng sử dụng các phiên bản OpenVPN 2.2.x; và tốt nhất chỉ nên dùng shell để chạy các đoạn script thay vì dùng bash (#!/bin/bash).

Cho tới nay theo thống kê từ khi phát hiện ra lỗ hổng bảo mật  Shellshock này đã có tới 217.000 cuộc tấn công lợi dụng lỗ hổng này và tới hơn 4100 domain chỉ trong vòng 4 ngày đầu tiên . Và theo ước tính con số này đã có thể tăng lên tới hơn 1tỷ