Обнаружен ряд уязвимостей в SoftEther VPN

В связи с ростом популярности и довольно большой конкуренции среди сервисов VPN, специалисты в области кибербезопасности стали уделять данным сервисам повышенное внимание. Гвидо Вранкен (исследователь по безопасности), провел аудит клиента и серверного ПО с открытым исходным кодом SoftEther VPN. Сам того не ожидая эксперт обнаружил 11 уязвимостей.

7 и 11 слабых мест связаны с повреждением памяти и механизмами проверки. Воспользовавшись их, злоумышленник способен в аварийном режиме завершить запущенные на сервере процессы. Остальные уязвимости связаны с утечкой памяти и способны привести к исчерпанию доступной памяти.

Техника используемая для аудита аналогична той, что использовалась экспертом в июне 2017 года, при исследовании сервиса OpenVPN. Фаззинг - техника тестирования программного обеспечения, которая заключается в передаче приложению ложных или случайных данных. В ходе выявляются падения или зависания, нарушения внутренней логики и проверок в коде.

Сервис обратил внимание на исследование проведенное Гвидо Вранкеном и исправил все с выходом обновления SoftEther VPN 4.25 Build 9656.