Виявлено вразливість у клієнтах OpenVPN

Користувачі VPN-клієнта OpenVPN опинилися під загрозою, в ПЗ виявлено вразливість, яка дозволяє провайдерам VPN-послуг запускати на пристроях клієнтів довільні команди. Проблема стосується версій програми — від 2.7_alpha1 до 2.7_beta1. Ризику в першу чергу піддаються комп'ютери під управлінням Linux, macOS та інших UNIX-подібних операційних систем.

Суть вразливості зводиться до недостатньої перевірки даних, які клієнт отримує від сервера під час підключення, і спеціально підготовлені налаштування DNS можуть бути некоректно оброблені внутрішнім сценарієм OpenVPN, що відповідає за конфігурацію мережі, що відкриває шлях для виконання шкідливого коду з правами адміністратора.

Експерти з кібербезпеки звертають увагу, що загроза стає реальною лише при з'єднанні з неперевіреними VPN-серверами. У такій ситуації зловмисник потенційно може отримати контроль над системою, скопіювати конфіденційні файли або встановити небажане програмне забезпечення. Вразливість, зареєстрована як CVE-2025-10680, оцінюється за шкалою CVSS у 8.1 бала, що вказує на високу ступінь небезпеки, при цьому атака можлива без попередньої аутентифікації зловмисника.

Розробники OpenVPN вже відреагували на інцидент і випустили оновлену версію 2.7_beta2, в якій проблема була усунена, однак рядовим користувачам не рекомендується встановлювати тестові збірки і дочекатися виходу релізної версії.

Для користувачів, які використовують стабільні релізи OpenVPN 2.6.x, загроза не актуальна. Дана ситуація служить нагадуванням про те, що використання програмного забезпечення на стадії активної розробки вимагає підвищеної уваги до безпеки, особливо коли йдеться про інструменти, що працюють з мережевим трафіком.