Open VPN クライアントのTunnelCrackへの対応状況について

[tadao sato]

AWS Client VPN を Open VPN クライアントで利用しています。

先日AWSより「VPN クライアント の脆弱性をチェックするように」というお知らせが届きました。

お知らせに記載されていたCVE番号からすると、TunnelCrack 発表への反応と解釈しています。

・CVE-2023-36671
・CVE-2023-36673
・CVE-2023-36672
・CVE-2023-35838

OpenVPNの最新バージョン　2.6.5  　が、この脆弱性の影響を受けるかどうか、

情報をお持ちの方がいらっしゃれば共有いただけないでしょうか。

よろしくお願いいたします。

[Taro Yamazaki]

やまざきです。

今のところ正式なアナウンスはなく、私自身も詳細までは把握できていませんが、（多数のVPNソリューションが対象になっていることからも）OpenVPNそのものの脆弱性ではなく、VPN接続のために利用するネットワーク構成によってはVPNトラフィックが危険になり得る問題、と理解しています。そのため、OpenVPNのバージョンには依存しません。

LocalNet Attackは悪意のあるネットワークから不正なIPアドレスを割り当てられることが起点になります。また、ServerIP AttackはDNSの応答を偽装されることによって正規ではないVPNサーバーに接続させようとする、という動きに基づきます。いずれもVPNを利用するために接続したネットワークやDNSの問題です。

怪しいネットワークからはVPNに接続しない、というのが鉄則ですが、さらにOpenVPNの設定で対応できる緩和策としては「すべてのトラフィックをVPNに流し、ローカルネットワークへの直接接続をブロックする」、「接続先VPNサーバーの指定をFQDNではなくIPアドレスにする」といった方法が考えられます。デメリットもあるので、安全性や用途などによって適用を検討する、ということになるかと思います。

On 2023/08/18 8:11, tadao sato wrote:
> AWS Client VPN を Open VPN クライアントで利用しています。
> 先日AWSより「VPN クライアント の脆弱性をチェックするように」というお知らせが届きました。
>

> お知らせに記載されていたCVE番号からすると、TunnelCrack <https://www.security-next.com/148575/3> 発表への反応と解釈しています。
>
> ・CVE-2023-36671
> ・CVE-2023-36673
> ・CVE-2023-36672
> ・CVE-2023-35838
>
>
> OpenVPNの最新バージョン　2.6.5 <https://www.openvpn.jp/2023/06/30/1487/>　が、この脆弱性の影響を受けるかどうか、
> 情報をお持ちの方がいらっしゃれば共有いただけないでしょうか。
>
> よろしくお願いいたします。
>
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/4497c8c2-1b86-4974-b5e6-e23a80aadffcn%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/4497c8c2-1b86-4974-b5e6-e23a80aadffcn%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。

--
::
:: Taro Yamazaki [ ta...@plum-systems.co.jp ]
::
:: Plum Systems Inc.
:: 2-3-11-2F, Kurihira, Asao-ku,
:: Kawasaki, Kanagawa
:: http://www.plum-systems.co.jp/