OpenVPN Easy-RSA Güvenlik Açığı, Özel CA Anahtarının Bruteforce’unu Etkinleştiriyor

   Ocak 21, 2025  Posted in CyberSecurityNews


OpenVPN Easy-rsa Güvenlik Açığı, OpenSSL 3 Kullanılarak Oluşturulan Bruteforce Özel CA anahtarına izin verir

OpenSSL 3 ile birlikte kullanıldığında Easy-RSA 3.0.5 ila 3.1.7 sürümlerinde kritik bir güvenlik açığı (CVE-2024-13454) belirlendi.

Bu kusur, özel Sertifika Yetkilisi (CA) anahtarlarının eski ve zayıf şifre DES-EDE3-CBC (genellikle 3DES olarak anılır) kullanılarak şifrelenmesine olanak tanır ve bu anahtarların kaba kuvvet saldırılarına karşı duyarlı olmasını sağlar.

OpenVPN için Genel Anahtar Altyapısını (PKI) yönetmeye yönelik bir yardımcı program olan Easy-RSA, CA anahtarları oluşturmak ve yönetmek için tasarlanmıştır.

Ancak şirket, OpenSSL 3 çalıştıran sistemlerde easyrsa build-ca komutu yürütüldüğünde, CA özel anahtarının, beklenen daha güçlü algoritma olan AES-256-CBC yerine DES-EDE3-CBC kullanılarak şifrelendiğini iddia etti.

Bu tutarsızlık, Easy-RSA’nın şifreleme algoritmalarına ilişkin varsayılan ayarlarındaki yanlış yapılandırmadan kaynaklanmaktadır.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Güvenlik açığı, saldırganların CA özel anahtarına kaba kuvvet uygulamak için ihtiyaç duyduğu hesaplama çabasını önemli ölçüde azaltır ve potansiyel olarak tüm PKI altyapısının tehlikeye atılmasına neden olur. Bu, saldırganların sertifikaları taklit etmesine ve şifrelenmiş iletişimlere müdahale etmesine olanak tanıyabilir.

Güvenlik Açığı Etkisi

  • Etkilenen Sürümler: OpenSSL 3 kullanan sistemlerde Easy-RSA sürümleri 3.0.5’ten 3.1.7’ye kadar.
  • Etkilenmeyen Sürümler: 3.0.5’ten önceki Easy-RSA sürümleri ve 3.2.0 veya daha yeni sürümler.
  • Şifreleme Algoritmaları: Savunmasız anahtarlar DES-EDE3-CBC’yi kullanırken, güvenli yapılandırmalar AES-256-CBC’yi kullanır.

Azaltma Adımları

Mevcut Anahtarları Yeniden Şifreleyin: Easyrsa set-pass ca komutunu doğru şifreyle (AES-256-CBC) CA özel anahtarını yeniden şifreleyin komutunu çalıştırın. Bu komut Easy-RSA’nın tüm sürümleriyle uyumludur.

Easy-RSA’yı yükseltin: Varsayılan olarak uygun şifreleme algoritmalarının kullanılmasını sağlayarak bu sorunu çözen Easy-RSA sürüm 3.2.0 veya sonraki bir sürüme güncelleme yapın.

OpenSSL Sürümünü Doğrulayın: Sisteminizin OpenSSL’in güvenli bir sürümünü kullandığından emin olun. Sürüm 1.x bu sorundan etkilenmezken OpenSSL 3’ün en son güvenli sürümüne güncellenmesi gerekmektedir.

Ancak Easy-RSA 3.0.9’dan 3.1.7’ye kadar olan sürümler için set-rsa-pass ve set-ec-pass’ın CA anahtar formatını PKCS12’den PKC8’e değiştirdiği keşfedildi.

Bu nedenle güvenlik açığı, modern güvenlik standartlarına uygunluğu sağlamak için kriptografik araçların ve yapılandırmaların düzenli olarak denetlenmesinin önemini vurgulamaktadır.

Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri



Source link