ช่องโหว่ใน Easy-RSA ของ OpenVPN เสี่ยงถูกแฮ็ก CA Key ด้วย Brute-force
Last updated: 23 Jan 2025
57 Views
สรุปข้อมูล
พบช่องโหว่ CVE-2024-13454 ระดับ Critical ใน Easy-RSA เวอร์ชัน 3.0.5 ถึง 3.1.7 เมื่อใช้งานร่วมกับ OpenSSL 3 โดยช่องโหว่นี้ทำให้ Private CA Key ถูกเข้ารหัสด้วยอัลกอริทึม DES-EDE3-CBC (หรือ 3DES) ซึ่งเก่าเกินไปและเสี่ยงต่อการถูกโจมตีแบบ Brute-force โดยช่องโหว่ดังกล่าวเกิดขึ้นจากการตั้งค่าเริ่มต้นที่ผิดพลาดใน Easy-RSA ณ ปัจจุบันทาง OpenVPN ได้แนะนำให้องค์กรต่าง ๆ อัปเดต Easy-RSA เป็นเวอร์ชัน 3.2.0 หรือใหม่กว่า และเปลี่ยนการเข้ารหัส Key CA เป็น AES-256-CBC เพื่อป้องกันการโจมตีผ่านช่องโหว่
รายละเอียดช่องโหว่
CVE-2024-13454 เป็นช่องโหว่ระดับ Critical ที่พบใน Easy-RSA บนระบบที่ใช้ OpenSSL 3 โดยช่องโหว่นี้ทำให้ Private CA Key ถูกเข้ารหัสด้วยอัลกอริทึม DES-EDE3-CBC (3DES) ซึ่งมีความปลอดภัยไม่เพียงพอต่อการใช้งานและเสี่ยงต่อการโจมตีแบบ Brute-force และควรใช้อัลกอริทึมที่ปลอดภัยกว่า เช่น AES-256-CBC
เวอร์ชันที่ได้รับผลกระทบ
| ผลิตภัณฑ์ | เวอร์ชันที่ได้รับผลกระทบ | เวอร์ชันที่ได้รับการแก้ไข |
| Easy-RSA | 3.0.5 ถึง 3.1.7 | 3.2.0 หรือใหม่กว่า |
หากผู้ใช้งานยังไม่สามารถอัปเดต Easy-RSA หรือ OpenSSL ได้ในทันที วิธีแก้ไขชั่วคราวคือการใช้คำสั่ง easyrsa set-pass ca เพื่อเข้ารหัส CA Key ใหม่ด้วย AES-256-CBC และระงับการใช้งาน Key ที่ถูกเข้ารหัสด้วย DES-EDE3-CBC โดยจำกัดการเข้าถึง CA Key ด้วยวิธีการใช้ไฟร์วอลล์ และตรวจสอบการตั้งค่าระบบ PKI เพื่อหาช่องโหว่ ซึ่งช่วยลดความเสี่ยงได้จนกว่าจะสามารถ
ผลกระทบจากช่องโหว่
ช่องโหว่ CVE-2024-13454 เสี่ยงต่อการโจมตีแบบ Brute-force หากการโจมตีสำเร็จอาจนำไปสู่การปลอมแปลงใบรับรองดิจิทัล ซึ่งสามารถนำไปใช้ในการโจมตีแบบ Man-in-the-Middle (MitM) นอกจากนี้ผู้โจมตีอาจดักจับข้อมูลที่เข้ารหัส เช่น ข้อมูลส่วนบุคคล หรือข้อมูลสำคัญอื่น ๆ ส่งผลกระทบต่อความปลอดภัยภายในองค์กรได้
คำแนะนำ
- อัปเดตเวอร์ชันของ Easy-RSA เป็นเวอร์ชัน 3.2.0 หรือใหม่กว่า และ OpenSSL เป็นเวอร์ชันล่าสุด
- ตรวจสอบและปิดการใช้งานอัลกอริทึม DES-EDE3-CBC ในระบบ
- จำกัดการเข้าถึง Key CA เฉพาะผู้มีสิทธิ์ พร้อมตรวจสอบสิทธิ์อย่างสม่ำเสมอ
แหล่งอ้างอิง
https://cybersecuritynews.com/openvpn-easy-rsa-vulnerability/
Related Content
