La versión 2.3.6 de OpenVPN corrige una vulnerabilidad que dejaba abierta la posibilidad de ejecutar ataques de Denegación de Servicio (DoS). La falla, CVE-2014-8104, permitía a un cliente autenticado en TLS bloquear el servidor enviándole un paquete de datos de control demasiado corto. Cabe destacar que al ser explotada, lo único que puede provocar es DoS, no la ejecución de malware u otras formas de ataque.
La actualización se hizo extensiva a OpenVPN 2.2, ya que las versiones lanzadas desde 2005 estaban afectadas, aunque está la posibilidad de que algunas anteriores también lo estuvieran. El aviso del proveedor aclara que solo la disponibilidad del servidor se ve afectada, y no la confidencialidad y autenticidad del tráfico.Esto significa que el código utilizado en la mayoría de los clientes OpenVPN Connect (como Android e iOS) no es vulnerable ni se usa en el lado del servidor.
TLS (Transport Layer Security) es un protocolo de seguridad que cifra la comunicación a través de Internet, es decir, proporciona comunicaciones seguras en una red. Por ejemplo, HTTPS usa TLS. Entonces, la vulnerabilidad en cuestión permitiría que un usuario ya autenticado pueda bloquear el servidor con un ataque DoS, enviando un paquete de datos de control corto al servidor -en toda comunicación, además de la información que se transmite, también se envían datos especiales o paquetes de control.
Solo clientes autenticados en TLS pueden explotar esta vulnerabilidad en el servidor de OpenVPN, de manera que los certificados de cliente y la autenticación en TLS podrán proteger contra el exploit, siempre y cuando todos los clientes OpenVPN no estén comprometidos o no sean maliciosos. La autenticación con usuario y contraseña no protege contra el exploit, y los servidores que usen --client-cert-not-required por definición no tienen certificados de cliente para protegerse.
De esta forma, los principales afectados son los proveedores de servicio de VPN, porque está el riesgo de alterar los certificados y llaves de autenticación TLS. Sin embargo, el aviso indica que no ha habido registros de la explotación de esta vulnerabilidad in-the-wild antes del lanzamiento de la versión 2.3.6.
En lo que respecta a Access Server, las versiones anteriores a 2.0.11 son vulnerables, por lo que se recomienda actualizar cuanto antes, "especialmente si se sospecha que algunos clientes puedan ser maliciosos".
OpenVPN es uno de los protocolos más usados a la hora de elegir servicios de VPN para garantizar privacidad y seguridad en accesos remotos, y goza de buena reputación en lo que refiere a protección de información sensible.