11 kwetsbaarheden gevonden in SoftEther VPN
Er zijn 11 kwetsbaarheden vastgesteld in de VPN-software SoftEther VPN. De kwetsbaarheden werden gevonden door onderzoeker Guido Vranken en zouden niet alleen denial of service-aanvallen, maar ook geheugencorruptie mogelijk maken.
SoftEther VPN is een cross-platform, multi-protocol VPN-client en software. De opdracht voor het onderzoek dat de gebreken aan het licht bracht werd verstrekt door het Max Planck Instituut voor Moleculaire Genetica. De audit nam zo’n slordige 80 uur in beslag. Tijdens het onderzoek werd gebruik gemaakt van zogenaamde fuzzers.
Concreet betekent bovenstaande dat er gedurende het onderzoek voor wordt gekozen om een bepaald stukje software te bestoken met allerhande datastromen. Dit zou er uiteindelijk voor kunnen zorgen dat er crashes of fouten de kop opsteken.
Dergelijke problemen kunnen wijzen in de richting van tot op dat ogenblik nog niet bekende veiligheidslekken. Vranken is als onderzoeker niet aan zijn proefstuk toe. In het verleden wist hij door middel van fuzzing namelijk reeds elf kwetsbaarheden aan het licht te brengen bij FreeRADIUS. Bovendien wees hij eerder op verschillende beveiligingslekken in OpenVPN.
Voor het kunnen fuzzen van SoftEther VPN werd er wel voor gekozen om de broncode aan te passen. Met de lancering van de SoftEther VPN 4.25 Build 9656 RTM zijn alle kwetsbaarheden die aan het licht zijn gekomen wel opgelost.
