Изследователи от доставчика на офанзивни кибернетични решения AmberWolf разкриха подробности за нов метод за атака, който може да бъде използван срещу широко използвани корпоративни VPN клиенти.
VPN мрежите често се използват от организациите за сигурен отдалечен достъп, но изследователите от AmberWolf показаха, че повърхността за атаки, която те въвеждат, не трябва да се пренебрегва.
Те публикуваха и инструмент с отворен код, наречен NachoVPN, който демонстрира атака срещу VPN мрежи на Palo Alto Networks и SonicWall чрез наскоро поправени уязвимости, както и срещу Cisco AnyConnect и Ivanti Connect Secure чрез по-стари недостатъци. Архитектурата на инструмента, базирана на плъгини, позволява на потребителите да добавят поддръжка и за други продукти.
Атаката, която работи както в Windows, така и в macOS, използва връзката на доверие между VPN клиента и сървъра. NachoVPN е проектиран така, че да симулира нелоялен VPN сървър, който може да използва уязвимости в свързващите се с него VPN клиенти.
В случая с продукта на Palo Alto Networks, по-конкретно с GlobalProtect VPN клиента, изследователите показаха как нападателят може да се насочи към механизма за автоматично актуализиране, за да инсталира злонамерен root сертификат и да постигне отдалечено изпълнение на код и повишаване на привилегиите.
Атакуващият трябва да подмами целевия потребител да се свърже с неговия измамен VPN сървър, което според AmberWolf може да се постигне чрез социално инженерство.
Компанията Palo Alto Networks, която проследява уязвимостта като CVE-2024-5921, я описва като проблем със средна степен на опасност, свързан с недостатъчно валидиране на сертификати в приложението GlobalProtect за Windows, macOS и Linux.
Компанията публикува консултация и обяви пачове за дупката в сигурността на 26 ноември, в същия ден, в който изследователите публикуваха публикации в блоговете си, описващи техните открития.
Palo Alto Networks посочи, че за да се възползва от пробойната, нападателят трябва да има локален неадминистративен достъп до операционната система или да е в същата подмрежа като жертвата.
Този проблем е отстранен с пускането на GlobalProtect 6.2.6 за Windows. Налични са и смекчаващи мерки. Компанията отбеляза, че не знае за злонамерена експлоатация, но посочи, че PoC (т.е. инструментът NachoVPN) е публично достъпен.
В случая с продукта на SonicWall изследователите от AmberWolf откриха, че атаката работи срещу VPN клиента SMA100 NetExtender за Windows.
SonicWall проследява уязвимостта като CVE-2024-29014 и ѝ е определила оценка „висока степен на сериозност“. Производителят пусна пачове в средата на юли и посочи, че защитните стени, работещи със SonicOS, не са засегнати, както и NetExtender Linux клиентът.
Според AmberWolf уязвимостта на SonicWall позволява отдалечено изпълнение на код с привилегии на системата, а експлоатирането ѝ изисква само целевият потребител да посети злонамерен уебсайт и да приеме подкана от браузъра.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.