La versión 2.6.14 de OpenVPN corrige un fallo que puede provocar caídas en servidores VPN, afectando la disponibilidad sin comprometer la integridad de los datos.
La comunidad de OpenVPN ha emitido una alerta crítica tras identificar una vulnerabilidad que afecta a servidores configurados con la opción --tls-crypt-v2, utilizada habitualmente para mejorar la privacidad y la protección contra inspección profunda de paquetes (DPI) en conexiones TLS. El fallo, registrado como CVE-2025-2704, ha sido corregido en la nueva versión OpenVPN 2.6.14, publicada el 7 de abril de 2025.
Según el aviso oficial, las versiones OpenVPN 2.6.1 hasta 2.6.13 son vulnerables si usan --tls-crypt-v2, permitiendo a un atacante provocar una denegación de servicio (DoS) mediante el envío de una combinación específica de paquetes legítimos y malformados que corrompen el estado del cliente en el servidor.
¿Qué ocurre con esta vulnerabilidad?
El error se activa cuando el servidor recibe ciertos paquetes manipulados que, junto con paquetes válidos, desencadenan una verificación interna (ASSERT) que termina forzando el cierre del servidor. Esto puede interrumpir conexiones activas para centenares o miles de usuarios en entornos de producción.
No obstante, no se compromete la seguridad criptográfica de los datos: no hay filtración de información, violación de cifrado ni posibilidad de ejecución remota de código.
Requisitos para explotar la falla
Para explotar esta vulnerabilidad, el atacante debe cumplir al menos una de las siguientes condiciones:
- Poseer una clave de cliente válida con
tls-crypt-v2. - Ser capaz de observar el tráfico de red durante el protocolo de enlace TLS y inyectar paquetes manipulados.
Mitigaciones y recomendaciones
Se recomienda encarecidamente a todos los administradores de sistemas y proveedores que:
- Actualicen a OpenVPN 2.6.14 o superior lo antes posible.
- En caso de no poder aplicar la actualización de inmediato, desactiven temporalmente
--tls-crypt-v2, con la advertencia de que ello podría reducir la privacidad y protección contra DPI.
Esta vulnerabilidad ha sido descubierta por el equipo de control de calidad de OpenVPN Inc., y su solución ha sido implementada en la última versión estable, que también incorpora otras mejoras menores para plataformas Linux y Windows, así como actualizaciones del instalador MSI y del GUI oficial.
Para más información, se puede consultar la página oficial del aviso de seguridad y acceder a los binarios actualizados desde el sitio oficial de OpenVPN.
La rápida respuesta del equipo de OpenVPN ante esta vulnerabilidad muestra una vez más la importancia de mantener actualizados los entornos críticos y de revisar de forma constante las configuraciones de seguridad en servicios expuestos a internet.
