Vulnerabilitate identificată în OpenVPN Easy-RSA
Sursă: https://cybersecuritynews.com
A fost identificată o vulnerabilitate (CVE-2024-13454) în Easy-RSA versiunile 3.0.5 până la 3.1.7 atunci când este utilizat cu OpenSSL 3.
Această vulnerabilitate permite criptarea cheilor private ale Autorității de Certificare (CA) utilizând cifrul neactualizat și vulnerabil DES-EDE3-CBC (denumit în mod obișnuit 3DES), ceea ce le face susceptibile la atacuri de tip brute force.
Easy-RSA, un utilitar pentru gestionarea infrastructurii de chei publice (PKI) pentru OpenVPN, este conceput pentru a crea și gestiona cheile CA.
Cu toate acestea, compania a susținut că, atunci când comanda easyrsa build-ca este executată pe sisteme care rulează OpenSSL 3, cheia privată CA este criptată utilizând DES-EDE3-CBC în loc de algoritmul mai puternic așteptat, AES-256-CBC.
Această eroare provine dintr-o configurație greșită a setărilor implicite ale Easy-RSA pentru algoritmii de criptare.
Vulnerabilitatea reduce semnificativ efortul de calcul necesar atacatorilor pentru atacurile de tip brute-force a cheii private a CA, putând compromite întreaga infrastructură PKI. Acest lucru ar putea permite atacatorilor să falsifice certificate și să intercepteze comunicații criptate.
Impactul vulnerabilității:
- Versiuni afectate: Easy-RSA versiunile 3.0.5 până la 3.1.7 pe sisteme care utilizează OpenSSL 3.
- Versiuni neafectate: Versiunile Easy-RSA anterioare versiunii 3.0.5 și versiunea 3.2.0 sau mai recente.
- Algoritmi de criptare: Cheile vulnerabile utilizează DES-EDE3-CBC, în timp ce configurațiile protejate utilizează AES-256-CBC.
Etape de remediere:
- Criptați din nou cheile existente: Rulați comanda easyrsa set-pass ca pentru a cripta din nou cheia privată CA cu algoritmul corect (AES-256-CBC). Această comandă este compatibilă cu toate versiunile Easy-RSA.
- Actualizați Easy-RSA: Actualizați la versiunea Easy-RSA 3.2.0 sau mai recentă, care remediază această problemă prin asigurarea utilizării implicite a algoritmilor de criptare corespunzători.
- Verificați versiunea OpenSSL: Asigurați-vă că sistemul dvs. utilizează o versiune sigură a OpenSSL. Versiunile 1.x nu sunt afectate de această problemă, în timp ce OpenSSL 3 trebuie actualizată la cea mai recentă versiune securizată.
Cu toate acestea, pentru versiunile Easy-RSA 3.0.9 până la 3.1.7, s-a descoperit că set-rsa-pass și set-ec-pass au schimbat formatul cheii CA de la PKCS12 la PKC8.
Sursă: https://cybersecuritynews.com/openvpn-easy-rsa-vulnerability/
