Обнаружена опасная уязвимость в Aviatrix VPN

Обнаружена опасная уязвимость в Aviatrix VPN

Эксплуатация уязвимости позволяет злоумышленнику повышать пользовательские привилегии.

image

Исследователь безопасности Алекс Сеймур (Alex Seymour) из Immersive Labs обнаружил серьезную уязвимость в корпоративном клиенте Aviatrix VPN. Ее эксплуатация позволяет злоумышленнику повышать пользовательские привилегии.

Проблема затрагивает версии клиента Aviatrix для Linux, macOS и FreeBSD, которые используют флаги -up и -down команды OpenVPN для выполнения скриптов оболочки, когда VPN-соединение установлено и отключено.

Из-за недостатков прав доступа к файлам, установленных в папке установки в Linux и FreeBSD, злоумышленник может изменить скрипты так, чтобы во время запуска команды OpenVPN скрипты выполнялись с повышенными привилегиями, предоставляя ему доступ к файлам, папкам и сетевым службам.

Исследователь сообщил Aviatrix об обнаруженной уязвимости, и 4 ноября 2019 года компания выпустила патч, устраняющий данную проблему.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle