كشف باحثون أمنيون عن ثغرة جديدة في الإصدارات التجريبية المبكرة من OpenVPN، قد تتيح للخوادم الضارة تنفيذ أوامر عشوائية على أجهزة المستخدمين تعرض أنظمة Linux وmacOS وBSD لخطر الاختراق الكامل.
تؤثر الثغرة، التي تحمل المعرف CVE-2025-10680 وتبلغ شدتها 8.1 وفق تصنيف CVSS، على الإصدارات من 2.7_alpha1 حتى 2.7_beta1، وتسمح بهجمات Script Injection من خلال معالجة غير آمنة لمعطيات الشبكة.
كيف تحدث الثغرة؟
أوضح الباحثون أن المشكلة ناتجة عن عدم تنقية المعطيات في الوسيطين –dns و–dhcp-option عند تمريرهما إلى سكربت –dns-updown المسؤول عن إعدادات الشبكة. وعند اتصال المستخدم بخادم VPN غير موثوق، يمكن للخادم إدخال أوامر خبيثة يتم تنفيذها تلقائياً بصلاحيات مرتفعة على الجهاز، ما قد يؤدي إلى سرقة بيانات أو تثبيت برمجيات خبيثة أو السيطرة الكاملة على النظام.
وتعتمد الثغرة على نموذج الثقة الافتراضي في OpenVPN، الذي يفترض أن إعدادات DNS المرسلة من الخادم آمنة. إلا أن هذه الثقة تتيح للمهاجم إدراج رموز تحكم مثل الفواصل المنقوطة أو علامات التنفيذ داخل سلاسل DNS، ليفسر الإدخال كأوامر قابلة للتنفيذ داخل النظام.
ورغم أن الخطر الأكبر يتركز على الأنظمة المستندة إلى Unix، فإن مستخدمي Windows قد يتأثرون أيضاً في حال استخدامهم تكامل PowerShell ضمن OpenVPN.
تحديث عاجل وإجراءات وقائية
استجابت مجموعة OpenVPN بسرعة، وأصدرت في 27 أكتوبر 2025 النسخة 2.7_beta2 التي تتضمن إصلاحات رئيسية، أبرزها تحسين آلية التحقق من إدخالات DNS ومنع تنفيذ أي تعليمات قادمة من خوادم مشبوهة.
كما عالج التحديث مشكلات إضافية في بيئة Windows، بينها تحسين سجل الأحداث عبر ملف openvpnservmsg.dll وإعادة تفعيل إعدادات بث IPv4 على أنظمة Linux. وشملت الإصلاحات تحسين دعم التوصيلات المتعددة Multi-socket وإصلاح خيارات DHCP في وضع TAP.
ونصحت OpenVPN المستخدمين بتحميل النسخة المحدثة من الموقع الرسمي واختبارها في بيئات غير إنتاجية، مؤكدة أن الاعتماد على الإصدارات المستقرة من السلسلة 2.6.x يبقى الخيار الآمن حتى استقرار فرع 2.7.
أشار الخبراء إلى أن هذه الحادثة تبرز خطورة استخدام النسخ التجريبية من البرمجيات الأمنية الحساسة مثل تطبيقات VPN، خاصة في المؤسسات التي تعتمد عليها للوصول الآمن عن بعد. وأكدوا ضرورة مراجعة إعدادات الثقة في الخوادم، وتفعيل مراقبة شاملة لأي تغييرات غير متوقعة في بيئات الاتصال.
