Un ensemble de vulnérabilités baptisé « NachoVPN » permet aux serveurs VPN voyous d’installer des mises à jour malveillantes lorsque des clients SSL-VPN Palo Alto et SonicWall non corrigés s’y connectent.
Les chercheurs en sécurité d’AmberWolf ont découvert que les acteurs de la menace peuvent inciter des cibles potentielles à connecter leurs clients VPN SonicWall NetExtender et Palo Alto Networks GlobalProtect à des serveurs VPN contrôlés par des attaquants à l’aide de sites Web malveillants ou de documents lors d’attaques d’ingénierie sociale ou de phishing.
Les auteurs de menaces peuvent utiliser les terminaux VPN malveillants pour voler les identifiants de connexion des victimes, exécuter du code arbitraire avec des privilèges élevés, installer des logiciels malveillants via des mises à jour et lancer une falsification de signature de code ou des attaques de l’homme du milieu en installant des certificats racine malveillants.
SonicWall a publié des correctifs pour corriger la vulnérabilité NetExtender CVE-2024 – 29014 en juillet, deux mois après le rapport initial de mai, et Palo Alto Networks a publié aujourd’hui des mises à jour de sécurité pour la faille GlobalProtect CVE-2024-5921, sept mois après avoir été informé de la faille en avril et près d’un mois après qu’AmberWolf ait publié les détails de la vulnérabilité au SANS HackFest Hollywood.
Alors que SonicWall indique que les clients doivent installer NetExtender Windows 10.2.341 ou versions ultérieures pour corriger la faille de sécurité, Palo Alto Networks indique que l’exécution du client VPN en mode FIPS-CC peut également atténuer les attaques potentielles en plus de l’installation de GlobalProtect 6.2.6 ou version ultérieure (qui corrige la vulnérabilité).
Mardi, AmberWolf a divulgué des détails supplémentaires concernant les deux vulnérabilités et a publié un outil open source baptisé NachoVPN, qui simule des serveurs VPN voyous qui peuvent exploiter ces vulnérabilités.
« L’outil est indépendant de la plate-forme, capable d’identifier différents clients VPN et d’adapter sa réponse en fonction du client spécifique qui s’y connecte. Il est également extensible, encourageant les contributions de la communauté et l’ajout de nouvelles vulnérabilités au fur et à mesure de leur découverte », a expliqué AmberWolf.
« Il prend actuellement en charge divers produits VPN d’entreprise populaires, tels que Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect et Ivanti Connect Secure », a ajouté la société sur la page GitHub de l’outil.
AmberWolf a également publié des avis contenant des informations plus techniques concernant les vulnérabilités SonicWall NetExtender et Palo Alto Networks GlobalProtect, ainsi que des détails sur les vecteurs d’attaque et des recommandations pour aider les défenseurs à protéger leurs réseaux contre les attaques potentielles.