Еще в конце 2016 года стало известно, что компания Private Internet Access (провайдер VPN), решила провести аудит безопасности одного из популярнейших на сегодня VPN-клиентов — OpenVPN. С декабря 2016 года по февраль 2017 года проверкой занимался известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green) и его команда, ранее уже осуществлявшая аудит TrueCrypt. Команда Грина сосредоточилась на поиске багов в OpenVPN 2.4, связанных с памятью (переполнение буфера, use-after-free и так далее), а также слабых мест в криптографии.
Также проверкой кода OpenVPN занималась и другая группа исследователей — Quarkslab, которые изучали OpenVPN для Windows и Linux, проверяли GUI и TAP-драйвер для Windows. Исследователей спонсировала организация Open Source Technology Improvement Fund (OSTIF), и аудит OpenVPN 2.4 занял у них порядка 50 дней между февралем и апрелем 2017 года.
Отчет, опубликованный OSTIF, гласит, что специалисты Quarkslab обнаружили лишь одну проблему высокой степени серьезности (high severity): CVE-2017-7478. Это уязвимость перед DoS-атаками, которая позволяет неаутентифицированному атакующему вызвать отказ в работе клиента и сервера OpenVPN. Исследователи подчеркивают, что эксплуатировать проблему очень легко. Также была найдена уязвимость CVE-2017-7479, умеренной серьезности (medium severity), которая тоже позволяет осуществить DoS-атаку, однако в этом случае атакующий должен быть аутентифицирован.
Команда Мэтью Грина, в свою очередь, не обнаружила никаких серьезных проблем в OpenVPN, но нашла ряд мелких багов, которые подробно описаны в докладе, обнародованном Private Internet Access.
Разработчики OpenVPN уже устранили большинство выявленных во время аудита багов, отложив до следующего релиза лишь несколько мелких брешей.
«После этих аудитов OpenVPN стал намного безопаснее, а исправления, внесенные в OpenVPN, означают, что мир становится безопаснее, когда используется данное ПО. Мы подтверждаем, что OpenVPN – это в целом хорошо написанное ПО, [разработчики] которого строго придерживаются правил безопасности», — пишут представители OSTIF.
Следующим кандидатом на изучение для OSTIF теперь становится OpenSSL 1.1.1, то есть первая версия с поддержкой TLS 1.3, для которой в код было внесено много изменений.
