Tänk dig att ditt företags VPN-server kraschar mitt under arbetsdagen, utan varning och utan en tydlig orsak. Det är precis vad en 15 år gammal säkerhetsbrist i strongSwan kan orsaka, och den har legat dold i koden sedan 2011. Nu har säkerhetsforskningsföretaget Bishop Fox avslöjat hur enkelt en angripare kan utnyttja den.

Vad är CVE-2026-25075?

Den 23 mars 2026 publicerade strongSwan ett officiellt säkerhetsbulletin om CVE-2026-25075, en sårbarhet som påverkar nästan alla versioner av programvaran från 4.5.0 till och med 6.0.4. strongSwan är ett populärt öppet källkodsprojekt som används av företag världen över för att driva IPsec-baserade VPN-lösningar.

Bristen finns i EAP-TTLS-pluginet, den komponent som hanterar en viss typ av autentisering. En oautentiserad angripare kan skicka ett specialkonstruerat meddelande och få VPN-servern att krascha, utan att behöva logga in eller ha några speciella rättigheter.

Varför är ett integer underflow så farligt?

Felet är ett klassiskt matematikproblem i kod. När strongSwan tar emot ett inkommande meddelande beräknar den hur mycket minne som behövs genom att subtrahera headerns storlek (8 bytes) från meddelandets totala storlek. Om en angripare skickar ett meddelande på bara 1 byte försöker koden fortfarande subtrahera 8 från 1.

I datorvärlden ger inte det här ett negativt svår. Istället wrappas värdet runt till ett enormt positivt tal. Servern försöker då reservera 18 exabytes minne via malloc, en mängd som ingen server i världen faktiskt har. Resultatet: minneshanteringen kollapsar.

Tvåfasattacken som lurar IT-teamet

Det som gör den här sårbarheten särskilt knepig är att servern inte kraschar direkt. Det skadliga meddelandet kommer in och skadar minneshanteringen i bakgrunden, men servern fortsätter att köra som vanligt en stund. Kraschen utlöses först när nästa användare försöker ansluta till VPN:et.

Det innebär att charon-daemonen, den bakgrundsprocess som håller VPN:et i gång, faller ner vid en till synes normal anslutning. För IT-teamet ser det ut som ett slumpmässigt fel, inte ett angrepp. Följden är att det kan ta lång tid att spåra kraschen tillbaka till den ursprungliga attacken.

Är ditt företag utsatt?

För att en attack ska lyckas krävs tre saker: servern måste köra en sårbar version (4.5.0 till 6.0.4), EAP-TTLS-pluginet måste vara aktiverat, och servern måste acceptera IKEv2-anslutningar. Använder ditt företag strongSwan med dessa inställningar är risken påtaglig.

Så skyddar du ditt nätverk

Åtgärden är tydlig: uppgradera till strongSwan version 6.0.5 eller senare omedelbart. Behöver du inte EAP-TTLS-funktionaliteten alls rekommenderar Bishop Fox att du inaktiverar pluginet helt som en extra säkerhetsspärr. Forskargruppen har även tagit fram ett testverktyg som kan kontrollera om din server är sårbar, utan att krascha den.

Är du osäker på om din VPN-infrastruktur är korrekt konfigurerad och skyddad? Kontakta BlckIT så hjälper vi dig att säkerställa att ditt nätverk är skyddat mot den här typen av angrepp.