设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1419|回复: 0

OpenVPN桌面客户端爆CSRF漏洞(可远程执行命令)

[复制链接]

 成长值: 50590

发表于 2014-7-17 19:30 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
SEC Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF漏洞。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告,建议受影响的客户端版本立刻升级到最新版。
14055611697290.jpg

受影响版本
windows版本的OpenVPN Access Server "Desktop Client" app。版本号为1.5.6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect,Private Tunnel和community builds 不受影响。
漏洞概要
OpenVPN Access Server "Desktop Client"包括两个部分,一个windows服务,通过本地的webserver提供XML-RPC的api。一个GUI的组件来连接这些API。这些XML-RPC的API存在csrf的漏洞。利用这些api可以实现以下几种攻击:
1,暴露受害者的真实信息。(比如,可以断开一个已经连接的VPN链接)2,实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)3,以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现)演示视频Youtube
随遇而安论坛   





来源:网络转载
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表