- 네덜란드 기반 보안 회사인 Radically Open Security(RoS)가 Mullvad VPN의 인프라 감사를 완료하였습니다.
- 이 감사는 RAM에서 실행되는 VPN 서버, 특히 하나의 OpenVPN 서버와 하나의 WireGuard 서버에 초점을 맞추었습니다.
- 2023년 6월 중순에 결론된 세 번째 보안 감사의 최종 보고서, 2023년 6월 말에 수정 사항이 배포되었습니다.
- RoS는 몇 가지 새로운 발견을 포함하여 일부 문제를 발견했지만, Mullvad VPN 중계기는 성숙한 아키텍처를 보였고 사용자 활동 데이터의 로깅은 발견하지 못했습니다.
- RoS는 RAM에서 실행되는 두 VPN 서버에 대한 완전한 SSH 접근 권한을 부여받았으며, 이는 축소된 Linux 커널(6.3.2)과 맞춤형 Ubuntu 22.04 LTS 기반 OS를 사용하였습니다.
- 이 감사는 서버의 내부 및 외부 보안 및 설정을 검증하고, 고객 활동이 로깅되는지 여부를 확인하는 것을 목표로 하였습니다.
- RoS는 고객 데이터의 정보 유출 또는 로깅을 발견하지 못했으며, 침투 테스트 중 1개의 고위험, 6개의 상위험, 4개의 중위험, 10개의 저위험, 그리고 4개의 정보-심각도 문제를 발견하였습니다.
- 고위험 문제 중 하나는 테스트 시스템에서 펜테스트 사용자에게 제작 사용자 트래픽이 보이는 것이었습니다.
- 상위험 문제는 저권한 시스템 계정이 systemd 타이머 스크립트 내용을 조작하여 루트 권한으로 승격할 수 있는 가능성이었습니다.
- 중위험 문제는 관리자가 제작 사용자의 VPN 트래픽에 접근할 수 있는 능력이었습니다.
- 저위험 문제는 Telegraf가 VPN 서버 간에 사용하는 공유 Influx 데이터베이스 자격 증명으로, 전역 서버 메트릭을 조작할 수 있었습니다.
- Mullvad VPN은 이러한 문제에 대한 수정 사항을 구현하였고, 가까운 미래에 더 많은 변경 사항을 배포할 계획입니다.