La comunidad OpenVPN ha publicado una actualización crítica de seguridad, OpenVPN 2.6.14, para corregir una vulnerabilidad del lado del servidor (CVE-2025-2704) que puede utilizarse para bloquear servidores VPN configurados con la opción –tls-crypt-v2.
Si bien la falla no compromete los datos cifrados ni permite la ejecución de código, puede provocar una denegación de servicio (DoS), lo que podría interrumpir los canales de comunicación seguros para usuarios de todo el mundo.
Las versiones de OpenVPN 2.6.1 a 2.6.13 son vulnerables si se configuran con la opción –tls-crypt-v2 activada. Esta configuración se utiliza a menudo para cifrar y autenticar paquetes del canal de control TLS, lo que ofrece mayor privacidad y protección anti-DPI (Inspección Profunda de Paquetes).
"Al recibir una combinación particular de paquetes entrantes, algunos autorizados y otros malformados, el estado del cliente en el servidor se corrompe y se activa una autocomprobación que abandona el servidor con un mensaje ASSERT", indica el aviso de seguridad. Un fallo de aserción, que bloquea el servidor, podría significar la interrupción de las conexiones para cientos o miles de usuarios en un entorno VPN de producción.
Para realizar un ataque exitoso se debería:
- Poseer una clave de cliente tls-crypt-v2 válida, o
- Monitorear el tráfico de red e inyectar paquetes especialmente diseñados durante el protocolo de enlace TLS.
Cuando la combinación correcta de paquetes legítimos y malformados llega al servidor, el estado del cliente se corrompe. El servidor, al detectar inconsistencias internas, activa una sentencia ASSERT y finaliza inmediatamente.
Aunque alarmante, CVE-2025-2704 no compromete el cifrado ni permite el robo de datos. "No se viola la integridad criptográfica, no se filtran datos ni es posible la ejecución remota de código", confirma el aviso.
Si utiliza un servidor OpenVPN con –tls-crypt-v2, se debe actualizar inmediatamente a OpenVPN 2.6.14 o superior. Si la actualización no es posible de inmediato, se puede desactivar –tls-crypt-v2 como solución temporal (aunque esto podría debilitar las funciones de privacidad).
Fuente: SecurityOnline