De makers van OpenVPN hebben uitgehaald naar Microsoft wegens het gebruik van de term 'zero-days' die in het veelgebruikte vpn-protocol aanwezig zouden zijn. OpenVPN behoort tot de meestgebruikte protocollen voor het opzetten van vpn-verbindingen. Microsoft-onderzoeker Vladimir Tokarev ontdekte verschillende kwetsbaarheden in het protocol, die volgens de onderzoeker miljoenen OpenVPN-endpoints wereldwijd raken. Via de beveiligingslekken zou onder andere remote code execution mogelijk zijn. In maart van dit jaar kwam OpenVPN met updates en beveiligingsbulletins voor de gevonden problemen.

Afgelopen donderdag gaf Tokarev tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie met de titel 'OVPNX: 4 Zero-Days Leading to RCE, LPE and KCE (via BYOVD) Affecting Millions of OpenVPN Endpoints Across the Globe'. Microsoft kwam op dezelfde dag met een blogposting waarin het meer details gaf. Twee van de vier kwetsbaarheden (CVE-2024-1305 en CVE-2024-27903) zijn als kritiek aangemerkt.

Tijdens de presentatie liet Tokarev zien hoe de verschillende kwetsbaarheden zijn te combineren om kwetsbare systemen over te nemen. De aanval gaf hij de naam OVPNX. In zowel de titel als de omschrijving van zijn presentatie spreekt de onderzoeker geregeld over 'zero-days'. Volgens de makers van OpenVPN zijn de claims van de Microsoft-onderzoeker dat er zero-days in OpenVPN aanwezig zijn, waardoor de 'OVPNX'-aanval mogelijk is, onjuist.

"De definitie van zerodaylekken is dat details openbaar zijn, maar er geen patch beschikbaar is. De OpenVPN-community heeft in maart 2024 een nieuwe versie uitgebracht met de oplossingen en details. Daarom zijn dit gewoon geen zerodaylekken", aldus het OpenVPN-ontwikkelteam. Dat heeft zelf ook meer details over de kwetsbaarheden gegeven. Zo zou een aanvaller al vergaande toegang tot een systeem moeten hebben om de kwetsbaarheden te misbruiken. "Voldoende toegang dat je waarschijnlijk deze kwetsbaarheden niet hoeft te misbruiken."