Algunas opciones de configuración de OpenVPN podrían permitir ataques centrados en las vulnerabilidades de Bash, advierte un provedor del software.

Servidores de red privada virtual basados en OpenVPN podrían ser vulnerables a ataques de ejecución remota de código que aprovechan la vulnerabilidad Shellshock y otras fallas que afectan al shell Bash. Según describió Fredrik Strömberg, cofundador del servicio de VPN Mullvad.

"OpenVPN tiene distintas opciones de configuración que permiten ejecutar comandos personalizados durante distintas etapas de la sesión", dijo Strömberg. "Muchos de estos comandos son invocados con variables de ambiente establecidas, algunas incluso pueden ser controladas por el cliente".

Shellshock y otras fallas encontradas en el shell Bash en las últimas semanas se derivan de errores en cómo las cadenas de caracteres, pasadas a través de variables de ambiente, son procesadas por el intérprete de línea de comandos. Estas cadenas pueden ser creadas de tal forma que Bash evalúe parte de ellas como comandos separados.

Varias aplicaciones invocan a Bash en diferentes circunstancias y podrían ser utilizadas por atacantes para pasar cadenas maliciosas al shell. Este es el caso de los scripts CGI que se ejecutan en servidores Web, el sistema de impresion CUPS, SSH y otras.

La comunidad de seguridad aún investiga el alcance de las fallas de Shellshock, también busca determinar qué aplicaciones permiten vectores de ataque remotos. El investigador de seguridad Rob Fuller ha creado una lista de los exploits publicados hasta ahora.

Una opción de configuración de OpenVPN que permite la explotación de Shellshock se llama "auth-user-pass-verify". De acuerdo con la documentación oficial del software, esta directiva provee una interfaz para extender las capacidades de autenticación de los servidores OpenVPN.

La opción ejecuta un script, definido por el administrador, mediante el interprete de línea de comandos para validar los nombres de usuario y contraseñas proporcionados por los clientes. Esto abre la posibilidad de que ciertos clientes envíen nombres de usuario y contraseñas formados maliciosamente para explotar la vulnerabilidad Shellshock cuando esos datos sean pasados a Bash como cadenas.

Amagicom, la compañia dueña de Mullvad, informó la semana pasada a los desarrolladores de OpenVPN y a algunos proveedores de servicio de VPN sobre el problema con la directiva "auth-user-pass-verify", pero esperó antes de publicar el descubrimiento para permitirles tomar las acciones apropiadas. Este vector de ataque de Shellshock es uno de los más serios, debido a que no requiere autenticación.

Sin embargo, parece que los desarrolladores de OpenVPN sabían de los riesgos de seguridad asociados a "auth-user-pass-verify" aún antes de que la falla de Bash fuera descubierta.

"Se debe tener cuidado, en cualquier script definido por el usuario, sobre la forma en la que estas cadenas son manejadas, para evitar la creación de una vulnerabilidad de seguridad", advierte la documentación oficial de OpenVPN para esta opción de configuración. "Nunca utilice estas cadenas de tal forma que puedan ser escapadas o evaluadas por un shell".

En otras palabras, el autor del script necesita asegurarse que las cadenas del nombre de usuario y contraseña recibidas desde el cliente, no contengan algún caracter peligroso o secuencia de caracteres antes de pasarlas al shell. No obstante, en lugar de depender de la habilidad de los creadores de scripts para filtrar posibles exploits, probablemente es mejor aplicar el último parche para Bash.