Onderzoeker vindt 11 kwetsbaarheden in SoftEther VPN

[Captain Kirk]

Onderzoeker Guido Vranken heeft in de vpn-software SoftEther VPN elf kwetsbaarheden gevonden waardoor denial of service-aanvallen en geheugencorruptie mogelijk waren. SoftEther VPN is een gratis open source, cross-platform, multi-protocol vpn-client en vpn-serversoftware.

Via een virtual private network (vpn) is het mogelijk om het internetverkeer via een versleutelde tunnel naar een andere computer te laten lopen. SoftEther VPN biedt zowel de client- als serversoftware. Vranken voerde het onderzoek uit in opdracht van het Max Planck Instituut voor Moleculaire Genetica. De kwetsbaarheden werden tijdens een 80 uur durende security-audit ontdekt, waarbij uitgebreid van fuzzers gebruik werd gemaakt.

Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Vranken had eerder al via fuzzing elf kwetsbaarheden in FreeRADIUS en verschillende beveiligingslekken in OpenVPN ontdekt. Om SoftEther VPN te kunnen fuzzen werd de broncode aangepast. Alle elf gevonden kwetsbaarheden zijn in SoftEther VPN 4.25 Build 9656 RTM verholpen.

 

 

bron: security.nl