热门 VPN 客户端被曝权限提升 bug

翻译：360代码卫士团队

一名研究人员指出，阻止 NordVPN 和 ProtonVPN 客户端以管理员权限在 Windows 机器上执行任意代码的补丁对漏洞的控制不充分。

这两个客户端均使用开源软件 OpenVPN 设置点对点的安全隧道。该服务需要以管理员权限运行，因此它所运行的任意代码都享有这些权限。

思科 Talos 团队的研究员 Paul Rascagneres 发现，OpenVPN 的配置文件可被修改为包含任意代码，之后传递给该服务并以系统权限在 Windows 机器上执行。

该 bug 类似于 VerSprite 安全咨询公司的员工 Fabius Watson 在4月份披露的一个漏洞。当时 OpenVPN 服务将会接受并运行包含如 “plugin” 或 “script-security” 等参数的配置文件。

NordVPN 和ProtonVPN 通过检查是否存在这两个危险的参数以及通过 OpenVPN 执行代码或命令的方法 “up” 和 “down” 的方式修复了这个问题。

Rascagnares 通过查看OpenVPN 源代码中的配置文件解析器发现，这些控制并不充分，通过将参数放在两个引号之间的方式也能达到同样的效果。研究员将如下文本添加到配置文件中展示了这一效果。

1. "script-security" 2

3. "up" C:\\WINDOWS\\system32\\notepad.exe

ProtonVPN 和 NordVPN 在 Windows上启动了 Notepad 应用程序。

这两个安全问题的编号为：CVE-2018-3952 (ProtonVPN) 和 CVE-2018-4010 (NordVPN)，安全评分为8.8（总分为10）。

7月5日，Rascagnares 将这些问题告知这两家 VPN 提供商。NordVPN 在8月8日发布补丁，ProtonVPN 在9月3日发布修复方案。不过它们使用了不同的修复方法。

ProtonVPN 选择将 OpenVPN 配置文件放在安装目录中，标准用户无法修改，这样就无法在其中添加恶意字符串。NordVPN 使用一个 XML 模块生成一个 OpenVPN 配置文件，标准用户无法编辑该模板。

受权限提升 bug 影响的客户端版本是 ProtonVPN 1.5.1 和 NordVPN 6.14.28.0。NordVPN 用户将被自动更新至最新版本，而使用 ProtonVPN 的用户需要手动更新。

原文链接

https://www.bleepingcomputer.com/news/security/privilege-escalation-bug-found-in-popular-vpn-clients/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。