Исследователи в области кибербезопасности обнаружили три серьёзные уязвимости в OpenVPN, одном из самых популярных в мире решений с открытым исходным кодом для создания виртуальных частных сетей (VPN). Эти недостатки позволяют злоумышленникам вызывать сбои в работе VPN-сервисов, обходить важные проверки безопасности или получать доступ к конфиденциальным данным в памяти. Разработчики OpenVPN уже выпустили экстренные обновления, и системным администраторам настоятельно рекомендуется установить их как можно скорее.
Детали уязвимостей
Наиболее критичной для корпоративных пользователей признана уязвимость типа «отказ в обслуживании» (Denial of Service, DoS), получившая идентификатор CVE-2025-13751. Она затрагивает пользователей операционной системы Windows. Проблема существует в интерактивном сервисном компоненте OpenVPN для Windows. Если говорить простыми словами, ошибка в обработке сбоев приводит к полному завершению работы службы при возникновении определённых условий. Обычно программа должна зафиксировать проблему в логах и продолжить работу. Однако данный дефект заставляет службу OpenVPN аварийно останавливаться. После такого сбоя установить новые VPN-подключения невозможно до тех пор, пока администратор вручную не перезапустит службу или весь компьютер. Опасность усугубляется тем, что инициировать крах может любой локальный пользователь, вошедший в систему Windows. Это создаёт значительные риски для организаций, где сотрудники используют общие рабочие станции.
Вторая серьёзная уязвимость, CVE-2025-13086, связана с обходом проверок безопасности в процессе «рукопожатия» (handshake) - начальном этапе установления связи между клиентом и сервером. Из-за ошибки в коде, где одна из проверок была инвертирована, система стала принимать все криптографические токены (HMAC) без их валидации. Это нарушает способность сервера проверять IP-адрес источника входящих подключений. Как следствие, злоумышленники могут забрасывать сервер поддельными запросами с поддельных IP-адресов, заставляя его тратить вычислительные ресурсы и память на обработку недействительных сессий. Данная атака представляет собой ещё одну форму отказа в обслуживании, приводящую к истощению ресурсов сервера.
Третий недостаток, CVE-2025-12106, затрагивает обработку IPv6-адресов. Отсутствие необходимой проверки может позволить программе прочитать больше данных из памяти, чем предполагалось. Такая ситуация, известная как «переполнение буфера при чтении» (buffer over-read), способна привести к аварийным остановкам или утечке информации.
Команда разработчиков OpenVPN оперативно отреагировала на обнаруженные угрозы. Для устранения всех трёх уязвимостей были выпущены версии 2.6.17 и 2.7_rc3. Если в вашей инфраструктуре используется OpenVPN версий 2.6.x или тестовых сборок 2.7 (альфа или релиз-кандидаты), необходимо немедленно обновить программное обеспечение. Своевременная установка патчей является ключевым действием для обеспечения непрерывной и безопасной работы корпоративной сети. Игнорирование этих обновлений оставляет систему открытой для атак, которые могут парализовать VPN-инфраструктуру и нарушить бизнес-процессы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-12106
- https://community.openvpn.net/Security%20Announcements/CVE-2025-12106
- https://www.mail-archive.com/openvpn-announce@lists.sourceforge.net/msg00152.html
- https://community.openvpn.net/Security%20Announcements/
