¿Usas OpenVPN? Cuidado al configurarlo, podrías habilitar una shell reversa?
Por todos es sabido que hay que tener mucho cuidado a la hora de instalar un programa, sea cual sea. Hay que tener siempre presente la fuente. Hay que evitar descargar de sitios de terceros y hacerlo de páginas oficinales. Es la mejor manera de asegurarnos, o al menos tener más garantías, de que se trata de algo legítimo. Hoy hablamos de OpenVPN, un programa muy popular de VPN. Explicamos cómo, simplemente a través de un archivo de configuración, podría habilitar una shell reversa en el equipo donde está instalado. Un problema para el usuario que confíe en ello.
Cuidado con la configuración de terceros en OpenVPN
Así lo explica Jacob Baines, investigador de seguridad de Tenable. Explica que es posible utilizar un archivo de configuración de OpenVPN, en principio inofensivo, para dejar una puerta trasera abierta. Esto permitiría ejecutar comandos una vez se ha realizado una conexión VPN.
Esto, además, también podría atacar a los archivos de configuración de distribución OpenVPN que automáticamente ejecutan comandos para abrir puertas traseras a través de un shell inverso o realizar otro comportamiento no deseado en el equipo del usuario.
Como hemos mencionado, OpenVPN es un popular programa de VPN de código abierto. Su objetivo es crear una conexión de red segura y cifrada. Es muy útil por ejemplo cuando estamos conectados a una red Wi-Fi abierta en un centro comercial y queremos que nuestros datos viajen de forma segura y evitar así posibles filtraciones o intrusos en nuestro equipo. Esta herramienta está disponible para muchos tipos de dispositivos, incluso en routers.
Para facilitar la configuración a los usuarios, muchos proveedores crean perfiles que se pueden descargar. Esto significa que cualquiera podemos bajar el que más nos convenga y automáticamente nuestro OpenVPN queda configurado. Una manera más sencilla y rápida de configurar la VPN. El problema llega cuando ese archivo puede estar modificado y genera una puerta trasera.
Según explica el investigador de seguridad, simplemente bastaría con modificar un archivo de configuración inofensivo. Solo hace falta agregar unas líneas de código y ya estaríamos ante un archivo malicioso que ponga en riesgo el equipo del usuario.
Observar el código
Si un atacante quisiera ejecutar un comando, solamente tendría que añadir el código correspondiente al texto. Unas simples líneas que convertirían esa configuración en un problema bastante serio para la víctima.
Esto demuestra que hay que tener mucho cuidado a la hora de descargar configuraciones de OpenVPN de terceros. Como hemos mencionado, no es complicado para un atacante configurar el código.
Ahora bien, ¿cómo podemos saber si un archivo de configuración es malicioso? Baines explica que podemos observar el código de configuración. Si vemos la línea “script-security 2” en él, significaría que permite la ejecución de scripts definidos por el usuario. Esa línea es necesaria para ejecutar scripts, por lo que algo raro puede haber.
El archivo de configuración es un archivo de texto que podemos abrir con cualquier programa. Por ello resulta fácil ver el código y observar si puede haber algo malicioso detrás de OpenVPN.
Pero por desgracia los ciberdelincuentes podrían aprovechar otras directivas de configuración. El investigador de seguridad recomienda utilizar una herramienta llamada Viscosity para filtrar este tipo de comandos.
Fuente: redeszone