Ένα σύνολο τρωτών σημείων που ονομάζονται “NachoVPN” επιτρέπει σε αδίστακτους διακομιστές VPN να εγκαθιστούν κακόβουλες ενημερώσεις όταν συνδεθούν σε αυτούς μη επιδιορθωμένοι πελάτες Palo Alto και SonicWall SSL-VPN.
Οι ερευνητές ασφαλείας της AmberWolf διαπίστωσαν ότι οι εισβολείς μπορούν να εξαπατήσουν πιθανούς στόχους για να συνδέσουν τους πελάτες τους SonicWall NetExtender και Palo Alto Networks GlobalProtect VPN με κακόβουλους διακομιστές VPN χρησιμοποιώντας κακόβουλους ιστότοπους ή έγγραφα σε επιθέσεις κοινωνικής μηχανικής ή phishing.
Οι φορείς απειλών μπορούν να χρησιμοποιήσουν αδίστακτα τελικά σημεία VPN για να κλέψουν τα διαπιστευτήρια σύνδεσης των θυμάτων, να εκτελέσουν αυθαίρετο κώδικα με αυξημένα δικαιώματα, να εγκαταστήσουν κακόβουλο λογισμικό μέσω ενημερώσεων και να ξεκινήσουν πλαστογραφία υπογραφής κώδικα ή επιθέσεις man-in-the-middle εγκαθιστώντας κακόβουλα πιστοποιητικά ρίζας.
Η SonicWall κυκλοφόρησε ενημερώσεις κώδικα για την αντιμετώπιση του CVE-2024-29014 Ευπάθεια NetExtender τον Ιούλιο, δύο μήνες μετά την αρχική αναφορά του Μαΐου, και η Palo Alto Networks κυκλοφόρησε σήμερα ενημερώσεις ασφαλείας για το CVE-2024-5921 Ελάττωμα GlobalProtect, επτά μήνες αφότου ενημερώθηκαν για το ελάττωμα τον Απρίλιο και σχεδόν ένα μήνα αφότου η AmberWolf δημοσίευσε λεπτομέρειες ευπάθειας στο SANS HackFest Hollywood.
Ενώ η SonicWall λέει ότι οι πελάτες πρέπει να εγκαταστήσουν NetExtender Windows 10.2.341 ή νεότερες εκδόσεις για να επιδιορθώσουν το ελάττωμα ασφαλείας, η Palo Alto Networks λέει ότι η εκτέλεση του προγράμματος-πελάτη VPN σε λειτουργία FIPS-CC μπορεί επίσης να μειώσει πιθανές επιθέσεις εκτός από την εγκατάσταση του GlobalProtect 6.2.6 ή νεότερης έκδοσης (το οποίο διορθώνει την ευπάθεια).
Την Τρίτη, η AmberWolf αποκάλυψε πρόσθετες λεπτομέρειες σχετικά με τα δύο τρωτά σημεία και κυκλοφόρησε ένα εργαλείο ανοιχτού κώδικα με τίτλο NachoVPNτο οποίο προσομοιώνει αδίστακτους διακομιστές VPN που μπορούν να εκμεταλλευτούν αυτά τα τρωτά σημεία.
“Το εργαλείο είναι αγνωστικό ως προς την πλατφόρμα, ικανό να εντοπίζει διαφορετικούς πελάτες VPN και να προσαρμόζει την απόκρισή του με βάση τον συγκεκριμένο πελάτη που συνδέεται με αυτό. Είναι επίσης επεκτάσιμο, ενθαρρύνοντας τις συνεισφορές της κοινότητας και την προσθήκη νέων τρωτών σημείων καθώς ανακαλύπτονται.” εξήγησε η AmberWolf.
“Προς το παρόν υποστηρίζει διάφορα δημοφιλή εταιρικά προϊόντα VPN, όπως το Cisco AnyConnect, το SonicWall NetExtender, το Palo Alto GlobalProtect και το Ivanti Connect Secure”, πρόσθεσε η εταιρεία στη σελίδα GitHub του εργαλείου.
Η AmberWolf δημοσίευσε επίσης συμβουλές με περισσότερες τεχνικές πληροφορίες σχετικά με το SonicWall NetExtender και Palo Alto Networks GlobalProtect τρωτά σημεία, καθώς και λεπτομέρειες και συστάσεις του φορέα επιθέσεων για να βοηθήσουν τους αμυνόμενους να προστατεύσουν τα δίκτυά τους από πιθανές επιθέσεις.
VIA: bleepingcomputer.com
