В популярном VPN-решении StrongSwan обнаружена критическая уязвимость, позволявшая удаленно выводить из строя сервисы без необходимости аутентификации. Проблема была устранена разработчиками после обнаружения.Ошибка находилась в компоненте, отвечающем за обработку пакетов EAP-TTLS AVP. Для атаки злоумышленнику было достаточно отправить на целевой сервер специально сформированный сетевой пакет.Уязвимость оказалась долгоживущей и затрагивала все версии программного обеспечения, выпущенные за последние 15 лет. Это значительно расширяло потенциальное количество систем, подверженных атаке.Эксплуатация бага приводила к сбою в работе VPN-сервиса, нарушая его доступность. Такие атаки типа «отказ в обслуживании» могут полностью парализовать защищенные каналы связи.Пользователям StrongSwan настоятельно рекомендуется как можно скорее обновить программное обеспечение до актуальной версии с исправлением. Своевременное обновление является единственным надежным способом защиты от данной угрозы.