Um conjunto de vulnerabilidades apelidado de "NachoVPN" permite que servidores VPN mal-intencionados instalem atualizações maliciosas quando clientes SSL-VPN da Palo Alto e SonicWall não atualizados se conectam a eles.
Pesquisadores de segurança da AmberWolf descobriram que atores de ameaças podem enganar alvos potenciais para conectar seus clientes VPN SonicWall NetExtender e Palo Alto Networks GlobalProtect a servidores VPN controlados por atacantes usando websites maliciosos ou documentos em ataques de engenharia social ou phishing.
Os atores de ameaças podem usar os endpoints VPN maliciosos para roubar credenciais de login das vítimas, executar código arbitrário com privilégios elevados, instalar software malicioso via atualizações e lançar ataques de falsificação de assinatura de código ou man-in-the-middle ao instalar certificados raiz maliciosos.
A SonicWall lançou patches para corrigir a vulnerabilidade NetExtender CVE-2024-29014 em julho, dois meses após o relatório inicial de maio, e a Palo Alto Networks liberou atualizações de segurança hoje para a falha GlobalProtect CVE-2024-5921, sete meses após terem sido informados da falha em abril e quase um mês após a AmberWolf ter publicado detalhes da vulnerabilidade na SANS HackFest Hollywood.
Enquanto a SonicWall diz que os clientes precisam instalar o NetExtender Windows 10.2.341 ou versões superiores para corrigir a falha de segurança, a Palo Alto Networks afirma que executar o cliente VPN em modo FIPS-CC também pode mitigar ataques potenciais, além de instalar o GlobalProtect 6.2.6 ou posterior (que corrige a vulnerabilidade).
Na terça-feira(26), a AmberWolf divulgou detalhes adicionais sobre as duas vulnerabilidades e lançou uma ferramenta open-source chamada NachoVPN, que simula servidores VPN maliciosos capazes de explorar essas vulnerabilidades.
"A ferramenta é agnóstica em termos de plataforma, capaz de identificar diferentes clientes VPN e adaptar sua resposta com base no cliente específico que se conecta a ela. É também extensível, encorajando contribuições da comunidade e a adição de novas vulnerabilidades conforme são descobertas," explicou a AmberWolf.
"Atualmente, ela suporta vários produtos VPN corporativos populares, como Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect e Ivanti Connect Secure," acrescentou a empresa na página do GitHub da ferramenta.
A AmberWolf também liberou avisos com mais informações técnicas sobre as vulnerabilidades do SonicWall NetExtender e Palo Alto Networks GlobalProtect, bem como detalhes do vetor de ataque e recomendações para ajudar os defensores a proteger suas redes contra ataques potenciais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...