In mei verschenen de resultaten van twee verschillende OpenVPN-audits die meerdere beveiligingslekken aan het licht brachten, maar onderzoeker Guido Vranken wist ondanks deze controles toch nog verschillende onbekende kwetsbaarheden in de populaire vpn-software te vinden.

Voor zijn onderzoek gebruikte Vranken een fuzzer. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In het geval van de twee OpenVPN-audits werd de code handmatig gecontroleerd, maar dat is volgens Vranken niet altijd de beste oplossing.

"Eindgebruikers die de veiligheid van een applicatie willen controleren die in een "onveilige" taal zoals C is geschreven, zoals de personen achter de crowdfunding-actie voor de OpenVPN-audit, zouden niet om een handmatige audit van de broncode moeten vragen, maar experts moeten vragen om de werking van de software te controleren en kwetsbaarheden te vinden, via een strategie die gegeven de beschikbare middelen het beste resultaat oplevert", aldus Vranken.

De onderzoeker stelt dat het gebruik van een fuzzer veel efficiënter is dan een handmatige controle, maar er nog steeds gevallen kunnen zijn waarbij een handmatige audit nodig is. De kwetsbaarheden die Vranken ontdekte maken het mogelijk om een server op afstand te laten crashen of data te lekken. Vanwege de beveiligingslekken is vandaag OpenVPN 2.4.3 verschenen.