Обнаружена опасная уязвимость в Aviatrix VPN

Обнаружена опасная уязвимость в Aviatrix VPN

Эксплуатация уязвимости позволяет злоумышленнику повышать пользовательские привилегии.

Исследователь безопасности Алекс Сеймур (Alex Seymour) из Immersive Labs обнаружил серьезную уязвимость в корпоративном клиенте Aviatrix VPN. Ее эксплуатация позволяет злоумышленнику повышать пользовательские привилегии.

Проблема затрагивает версии клиента Aviatrix для Linux, macOS и FreeBSD, которые используют флаги -up и -down команды OpenVPN для выполнения скриптов оболочки, когда VPN-соединение установлено и отключено.

Из-за недостатков прав доступа к файлам, установленных в папке установки в Linux и FreeBSD, злоумышленник может изменить скрипты так, чтобы во время запуска команды OpenVPN скрипты выполнялись с повышенными привилегиями, предоставляя ему доступ к файлам, папкам и сетевым службам.

Исследователь сообщил Aviatrix об обнаруженной уязвимости, и 4 ноября 2019 года компания выпустила патч, устраняющий данную проблему.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.