Una vulnerabilidad importante en el cliente VPN IXON permite a los atacantes locales obtener privilegios a nivel del sistema en los sistemas Windows, Linux y MacOS.
Los defectos rastreados como CVE-2025-26168 y CVE-2025-26169 pueden afectar las versiones antes de 1.4.4 y permitir el control total de los sistemas afectados a través de sofisticadas técnicas de manipulación de archivos temporales.
Ixon, un proveedor de idiomas holandés de soluciones de acceso remoto industrial, ofrece servicios VPN basados en la nube ampliamente utilizados en sistemas industriales y entornos de tecnología operativa.
Xon VPN Vulnerabilidad al cliente
La vulnerabilidad revelada por Andreas Bikelup y Dunrosenqvist en la compañía de seguridad cibernética Shell Trail durante una evaluación de seguridad de rutina aprovecha las debilidades en la forma en que los clientes VPN IXON manejan los archivos de configuración.
La vulnerabilidad recibe una puntuación CVSS de 8.1 (alta) y muestra su naturaleza grave.
Explotación de Windows (CVE-2025-26169)
En los sistemas de Windows, los atacantes pueden aprovechar las condiciones de carrera en el directorio C: \ Windows \ TEMP. Aquí, el cliente VPN almacena temporalmente el archivo de configuración.
Al explotar esta vulnerabilidad, los atacantes locales con privilegios limitados pueden sobrescribir repetidamente archivos de configuración temporales con contenido malicioso usando PowerShell.
Este ataque aprovecha el hecho de que el cliente VPN se está ejecutando como un sistema de autoridad NT, proporcionando la capacidad de un atacante para ejecutar código arbitrario con los privilegios del sistema más altos una vez que se maneja la configuración adicta.
Explotación de Linux (CVE-2025-26168)
La variante Linux del ataque se dirige al archivo /tmp/vpn_client_openvpn_configuration.ovpn almacenado en el directorio mundialmente.
Los investigadores han descubierto que los atacantes pueden usar el comando mkfifo para crear tuberías con nombre (FIFOS) en esta ubicación e inyectar configuraciones maliciosas de OpenVPN.
Esta configuración puede incluir directivas como TLS-Verify usando Script-Security 2, así como la ejecución del código a nivel raíz. Cuando un cliente VPN maneja esta configuración, ejecuta el código del atacante con privilegios raíz.
Productos compatibles con cess CappateXPLOIT PrererequisitesCVSS 3.1 Scorecve-2025-26168IXon VPN Client (Linux/MacOS, ≤V1.4.3) Ruta-Acceso local-/tmp/vpn_client_openvpn_configurination.ovpn8.1 (alto) CVE-2025-26161616161616 Cliente VPN (Windows, ≤v1.4.3) Sistema – Explotación de estados de carrera de acceso local en C: \ Windows \ TEMP Directory8.1 (alto)
El parche ha sido lanzado
IXON ha lanzado la versión 1.4.4 del cliente VPN para abordar estas vulnerabilidades. Este parche implementa una ubicación de almacenamiento más segura para los archivos de configuración y restringe el acceso a usuarios de alto privilegio.
Los expertos en seguridad recomiendan que las organizaciones que usan clientes IXON VPN tomen las siguientes acciones de inmediato:
Actualizado a la versión 1.4.4 o posterior desde el portal oficial de la nube Ixon. Verifique el parche exitoso revisando la versión del cliente en el portal. Considere implementar controles de acceso adicionales en su sistema confidencial. Monitoree su sistema para obtener signos de compromiso o acceso no autorizado.
Se recomienda encarecidamente a los usuarios que actualicen a la última versión, verifiquen la instalación exitosa y eviten el uso de lanzamientos vulnerables para garantizar la seguridad continua de sus redes y activos críticos.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
