Un conjunto de vulnerabilidades denominado “NachoVPN” permite a servidores VPN maliciosos instalar actualizaciones maliciosas cuando se conectan a ellos clientes Palo Alto y SonicWall SSL-VPN sin parches.
Los investigadores de seguridad de AmberWolf han descubierto que los actores de amenazas pueden engañar a objetivos potenciales para que conecten sus clientes VPN SonicWall NetExtender y Palo Alto Networks GlobalProtect a servidores VPN controlados por atacantes mediante el uso de sitios web o documentos maliciosos en el contexto de ingeniería social o ataques de phishing.
Los actores maliciosos pueden utilizar puntos finales de VPN maliciosos para robar las credenciales de inicio de sesión de las víctimas, ejecutar código arbitrario con privilegios elevados, instalar malware a través de actualizaciones y lanzar falsificaciones de firmas de códigos o ataques de piratería al intermediario mediante la instalación de certificados raíz maliciosos.
SonicWall ha lanzado parches para resolver el problema CVE-2024-29014 NetExtender en julio, dos meses después del informe inicial de mayo, y Palo Alto Networks lanzó hoy actualizaciones de seguridad para CVE-2024-5921 Fallo de GlobalProtect, siete meses después de ser informado del fallo en abril y casi un mes después de que AmberWolf publicara detalles de la vulnerabilidad en SANS HackFest Hollywood.
Si bien SonicWall dice que los clientes deben instalar NetExtender Windows 10.2.341 o superior para corregir la falla de seguridad, Palo Alto Networks dice que ejecutar el cliente VPN en modo FIPS-CC también puede mitigar posibles ataques además de ‘instalar GlobalProtect 6.2.6 o posterior (que corrige la vulnerabilidad).
El martes, AmberWolf reveló detalles adicionales sobre las dos vulnerabilidades y lanzó una herramienta de código abierto llamada NachoVPNque simula servidores VPN maliciosos capaces de explotar estas vulnerabilidades.
“La herramienta es independiente de la plataforma, capaz de identificar diferentes clientes VPN y adaptar su respuesta en función del cliente específico que se conecta a ella. También es extensible, fomenta las contribuciones de la comunidad y agrega nuevas vulnerabilidades a medida que se descubren”. lobo ámbar.
“Actualmente es compatible con varios productos VPN empresariales populares, como Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect e Ivanti Connect Secure”, agregó la compañía en la página de GitHub de la herramienta.
AmberWolf también ha publicado avisos que contienen más información técnica sobre el SonicWall NetExtender Y Palo Alto Networks GlobalProtect vulnerabilidades, así como detalles sobre vectores de ataque y recomendaciones para ayudar a los defensores a proteger sus redes contra posibles ataques.