Набір вразливостей під назвою NachoVPN дозволяє шахрайським VPN-серверам встановлювати шкідливі оновлення, коли до них підключаються невиправлені клієнти Palo Alto та SonicWall SSL-VPN. Про це повідомляє BleepingComputer.
Дослідники безпеки AmberWolf виявили, що загрози можуть обманом змусити потенційні цілі підключити свої VPN-клієнти SonicWall NetExtender і Palo Alto Networks GlobalProtect до контрольованих зловмисниками VPN-серверів за допомогою шкідливих вебсайтів або документів під час атак соціальної інженерії або фішингу.
Зловмисники можуть використовувати фальшиві кінцеві точки VPN для викрадення облікових даних жертв, виконання довільного коду з підвищеними привілеями, інсталяції шкідливого програмного забезпечення за допомогою оновлень і запуску підробки підпису коду або встановлення шкідливих кореневих сертифікатів.
SonicWall випустила виправлення для усунення вразливості CVE-2024-29014 NetExtender у липні, через два місяці після першого травневого звіту, а Palo Alto Networks — нещодавно оновлення безпеки для недоліку CVE-2024-5921 GlobalProtect.
У той час як SonicWall каже, що клієнти повинні встановити NetExtender Windows 10.2.341 або новішої версії, щоб виправити недолік безпеки, Palo Alto Networks переконує, що запуск VPN-клієнта в режимі FIPS-CC також може зменшити потенційні атаки, окрім встановлення GlobalProtect 6.2.6 або новішої версії, що виправляє вразливість.
У вівторок AmberWolf розкрила додаткові подробиці щодо двох вразливостей і випустила інструмент із відкритим кодом під назвою NachoVPN, який імітує шахрайські сервери VPN, що можуть використовувати ці вразливості.
«Інструмент не залежить від платформи, здатний ідентифікувати різних клієнтів VPN та адаптувати свою відповідь на основі конкретного клієнта, який до нього підключається. Він розширюваний, заохочує внески спільноти та додавання нових вразливостей у міру їх виявлення», — пояснили в AmberWolf.
«Наразі він підтримує різні популярні корпоративні продукти VPN, такі як Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect та Ivanti Connect Secure», — додала компанія на сторінці інструменту GitHub.
AmberWolf також опублікувала рекомендації з додатковою технічною інформацією щодо вразливостей SonicWall NetExtender і Palo Alto Networks GlobalProtect, а також деталі вектору атак і рекомендації, які допоможуть захистити свої мережі від потенційних атак.
Раніше ми повідомляли, що Microsoft більше не підтримує протоколи PPTP та L2TP VPN у Windows Server.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
