Разработчики программы OpenVPN для организации виртуальных частных сетей с самого начала предупреждали, что серверы OpenVPN уязвимы через Heartbleed. Но до вчерашнего дня никому не удавалось продемонстрировать действующий экслойт. Сейчас этот недостаток устранен. Владелец шведского VPN-сервиса Mullvad Фредрик Штремберг (Fredrik Strömberg) подтвердил, что его сотрудникам удалось несколько раз извлечь секретные ключи SSL с сервера OpenVPN, используя баг Heartbleed.
Как и в прошлых случаях, сохраненных в памяти простых чиел оказалось достаточно для восстановления оригинального ключа и, таким образом, подделки сертификата настоящего сервера.
Откровение Штремберга означает, что владельцы любого сервера OpenVPN должны следовать тем же рекомендациям, что и веб-мастеры, которые поддерживают работу обычных сайтов с поддержкой SSl через библиотеку Open SSL. Им нужно установить новую версию библиотеки, сгенерировать новые ключи, перевыпустить сертификаты и сообщить пользователям о необходимости изменить пароли. Пользователям также придется смириться с мыслью, что весь их трафик за последние два года мог быть открыт для особо продвинутых злоумышленников, таких как АНБ или ФСБ.
Для извлечения секретных ключей с сервера OpenVPN сам Фредрик Штремберг использовал доступные в интернете эксплойты. Он сказал, что при копировании памяти ключ можно найти при размере файла от 1 до 10 ГБ.
Судя по всему, перед Heartbleed уязвимы все версии OpenVPN, в которых используются OpenSSL 1.0.1a-f.
Следует отметить, что атака не работает против сеансов с включенной опцией аутентификации через TLS, так как в этом случае используется отдельный приватный ключ для шифрования трафика.