Noul atac NachoVPN utilizează servere VPN malițioase

Un set de vulnerabilități denumit NachoVPN permite serverelor VPN rău intenționate să instaleze actualizări malițioase atunci când utilizatorii Palo Alto și SonicWall SSL-VPN fără actualizări se conectează la acestea.

Specialiștii în domeniul securității au descoperit că persoanele rău intenționate pot păcăli utilizatorii să își conecteze clienții SonicWall NetExtender și Palo Alto Networks GlobalProtect VPN la serverele VPN controlate de aceștia utilizând site-uri web sau documente rău intenționate în cadrul unor atacuri de inginerie socială sau phishing.

Persoanele rău intenționate pot utiliza endpoint-urile VPN malițioase pentru a obține credențialele utilizatorilor, pentru a executa cod arbitrar cu privilegii ridicate, pentru a instala software malițios prin intermediul actualizărilor și pentru a lansa atacuri de tip code-signing forgery sau man-in-the-middle prin instalarea de certificate root malițioase.

SonicWall a lansat actualizări pentru a remedia vulnerabilitatea CVE-2024-29014 NetExtender în iulie, la două luni de la raportul inițial din luna mai, iar Palo Alto Networks a lansat de curând actualizări de securitate pentru vulnerabilitatea CVE-2024-5921 GlobalProtect, la șapte luni după ce au fost semnalate informații cu privire la aceasta.

În timp ce SonicWall sugerează instalarea NetExtender Windows 10.2.341 sau versiuni mai recente pentru a remedia vulnerabilitatea, Palo Alto Networks spune că rularea clientului VPN în modul FIPS-CC poate, de asemenea, să atenueze potențialele atacuri pe lângă instalarea GlobalProtect 6.2.6 sau versiuni mai recente (care remediază vulnerabilitatea).

Recent, au fost dezvăluite informații suplimentare privind cele două vulnerabilități și a fost lansat un instrument open-source denumit NachoVPN, ce simulează serverele VPN nelegitime ce pot exploata aceste vulnerabilități.

Sursă: https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/