Phần mềm VPN client nổi tiếng với số lượng người dùng đông đảo OpenVPN Connect, vừa qua đã nhận được bản ván cho một lỗ hổng nghiêm trọng, gây rò rỉ thông tin khoá bí mật (private keys) đang tồn tại trên ứng dụng này.

Thông tin lỗ hổng

• Định danh lỗ hổng: CVE-2024-8474
• Điểm CVSS(3.1): 7.5
• Mức độ nghiêm trọng: Cao (High)
• Mô tả: OpenVPN Connect từ phiên bản 3.5.0 trở về trước chứa khoá bí mật (private key) của cấu hình ở dạng rõ mà không bị mã hoá. Do khoá này được ghi vào log ứng dụng nên kẻ tấn công chưa xác thực có thể chiếm và sử dụng khoá bí mật này để giải mã lưu lượng VPN, từ đó tiếp cận các thông tin nhạy cảm được truyền tải qua VPN.

Khuyến nghị & Khắc phục

Đội ngũ nghiên cứu bảo mật thuộc FPT Threat Intelligence khuyến nghị người dùng nên thực hiện các quy trình dưới đây để nâng cao an toàn, bảo mật cho cá nhân người dùng, tránh đối mặt với nguy cơ bị rò rỉ dữ liệu nhạy cảm, mất an toàn thông tin trong tương lai:

1. Cập nhật phiên bản mới nhất: Tiến hành cập nhật lên phiên bản 3.5.1 của ứng dụng OpenVPN Connect để nhận được bản vá dành cho lỗ hổng bảo mật CVE-2024-8474.
2. Thay đổi thông tin cá nhân: Thay đổi thông tin cá nhân dành cho VPN như thông tin tên người dùng hoặc thay đổi mật khẩu VPN cá nhân. Sử dụng mật khẩu mạnh, kết hợp các ký tự in hoa, in thường, các ký tự số cùng các ký tự đặc biệt nhằm gia tăng tính an toàn cho mật khẩu cá nhân. Có thể sử dụng các trình quản lý mật khẩu như Bitwarden, 1Password,...
3. Kiểm tra log ứng dụng: Đối với trường hợp chưa thể cập nhật lên phiên bản 3.5.1 mới nhất, người dùng có thể kiểm tra log ứng dụng của OpenVPN Connect thường xuyên để rà quét các hoạt động bất thường.
4. Nâng cao nhận thức: Tự trang bị những kiến thức liên quan tới bảo mật, an ninh mạng, luôn cảnh giác với các rủi ro bảo mật tiềm ẩn mà bản thân có thể đối mặt trên không gian mạng.

Tham khảo

1. National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2024-8474