Изследователи от доставчика на офанзивни кибернетични решения AmberWolf разкриха подробности за нов метод за атака, който може да бъде използван срещу широко използвани корпоративни VPN клиенти.

VPN мрежите често се използват от организациите за сигурен отдалечен достъп, но изследователите от AmberWolf показаха, че повърхността за атаки, която те въвеждат, не трябва да се пренебрегва.

Те публикуваха и инструмент с отворен код, наречен NachoVPN, който демонстрира атака срещу VPN мрежи на Palo Alto Networks и SonicWall чрез наскоро поправени уязвимости, както и срещу Cisco AnyConnect и Ivanti Connect Secure чрез по-стари недостатъци. Архитектурата на инструмента, базирана на плъгини, позволява на потребителите да добавят поддръжка и за други продукти.

Атаката, която работи както в Windows, така и в macOS, използва връзката на доверие между VPN клиента и сървъра. NachoVPN е проектиран така, че да симулира нелоялен VPN сървър, който може да използва уязвимости в свързващите се с него VPN клиенти.

В случая с продукта на Palo Alto Networks, по-конкретно с GlobalProtect VPN клиента, изследователите показаха как нападателят може да се насочи към механизма за автоматично актуализиране, за да инсталира злонамерен root  сертификат и да постигне отдалечено изпълнение на код и повишаване на привилегиите.

Атакуващият трябва да подмами целевия потребител да се свърже с неговия измамен VPN сървър, което според AmberWolf може да се постигне чрез социално инженерство.

Компанията Palo Alto Networks, която проследява уязвимостта като CVE-2024-5921, я описва като проблем със средна степен на опасност, свързан с недостатъчно валидиране на сертификати в приложението GlobalProtect за Windows, macOS и Linux.

Компанията публикува консултация и обяви пачове за дупката в сигурността на 26 ноември, в същия ден, в който изследователите публикуваха публикации в блоговете си, описващи техните открития.

Palo Alto Networks посочи, че за да се възползва от пробойната, нападателят трябва да има локален неадминистративен достъп до операционната система или да е в същата подмрежа като жертвата.

Този проблем е отстранен с пускането на GlobalProtect 6.2.6 за Windows. Налични са и смекчаващи мерки. Компанията отбеляза, че не знае за злонамерена експлоатация, но посочи, че PoC (т.е. инструментът NachoVPN) е публично достъпен.

В случая с продукта на SonicWall изследователите от AmberWolf откриха, че атаката работи срещу VPN клиента SMA100 NetExtender за Windows.

SonicWall проследява уязвимостта като CVE-2024-29014 и ѝ е определила оценка „висока степен на сериозност“. Производителят пусна пачове в средата на юли и посочи, че защитните стени, работещи със SonicOS, не са засегнати, както и NetExtender Linux клиентът.

Според AmberWolf уязвимостта на SonicWall позволява отдалечено изпълнение на код с привилегии на системата, а експлоатирането ѝ изисква само целевият потребител да посети злонамерен уебсайт и да приеме подкана от браузъра.