Araştırmacılar, Palo Alto Networks (CVE-2024-5921) ve SonicWall (CVE-2024-29014) kurumsal VPN istemcilerinin güncelleme sürecinde, kullanıcıların cihazlarında uzaktan kod yürütmek için kullanılabilecek güvenlik açıkları keşfettiler.
CVE-2024-5921
CVE-2024-5921, Palo Alto’nun GlobalProtect Uygulamasının Windows, macOS ve Linux’taki çeşitli sürümlerini etkiliyor ve yetersiz sertifika doğrulamasından kaynaklanıyor.
Şirket, saldırganların GlobalProtect uygulamasını rastgele sunuculara bağlamasına olanak tanıdığını doğruladı ve bunun, saldırganların uç noktaya kötü amaçlı kök sertifikalar yüklemesine ve ardından bu sertifikalar tarafından imzalanan kötü amaçlı yazılımları yüklemesine neden olabileceğini belirtti.
“GlobalProtect VPN istemcisinin hem Windows hem de macOS sürümleri, uzaktan kod yürütmeye (RCE) ve otomatik güncelleme mekanizması yoluyla ayrıcalık yükseltmeye karşı savunmasızdır. Güncelleme işlemi MSI dosyalarının imzalanmasını gerektirse de saldırganlar, RCE’yi ve ayrıcalık yükseltmeyi etkinleştirerek kötü amaçlı olarak güvenilen bir kök sertifika yüklemek için PanGPS hizmetinden yararlanabilir. AmberWolf araştırmacıları Richard Warren ve David Cash, güncellemelerin hizmet bileşeninin ayrıcalık düzeyiyle (Windows’ta SYSTEM ve macOS’ta root) yürütüldüğünü açıkladı.
“Varsayılan olarak kullanıcılar, VPN istemcisinin kullanıcı arayüzü bileşeninde (PanGPA) isteğe bağlı uç noktalar belirleyebilir. Bu davranış, saldırganların kullanıcıları hileli VPN sunucularına bağlanmaları için kandırdığı sosyal mühendislik saldırılarında kullanılabilir. Bu sunucular, kötü amaçlı istemci güncellemeleri yoluyla oturum açma kimlik bilgilerini yakalayabilir ve sistemleri tehlikeye atabilir.”
Palo Alto, “Bu sorun GlobalProtect uygulaması 6.2.6’da ve Windows’taki tüm GlobalProtect uygulaması 6.2 sürümlerinde düzeltildi” diyor. Şirket ayrıca sistemin güvenilir sertifika deposuna karşı daha sıkı sertifika doğrulaması uygulamak için etkinleştirilmesi gereken ek bir yapılandırma parametresi (FULLCHAINCERTVERIFY) de kullanıma sundu.
PAN’ın güvenlik tavsiyesine göre şu anda uygulamanın macOS veya Linux sürümleri için herhangi bir düzeltme bulunmuyor.
Bununla birlikte, bir geçici çözüm/azaltma mevcuttur ve bu, uç noktalarda GlobalProtect uygulaması için FIPS-CC modunun etkinleştirilmesinden (ve GlobalProtect portalında/ağ geçidinde FIPS-CC modunun etkinleştirilmesinden) oluşur.
AmberWolf araştırmacıları, kullanıcıların kötü amaçlı VPN sunucularına bağlanmasını önlemek için ana bilgisayar tabanlı güvenlik duvarı kurallarının da uygulanabileceğini söylüyor.
CVE-2024-29014
CVE-2024-29014, SonicWall’un Windows 10.2.339 ve önceki sürümleri için NetExtender VPN istemcisini etkiler ve bir Uç Nokta Denetimi (EPC) İstemcisi güncellemesi işlendiğinde saldırganların SİSTEM ayrıcalıklarıyla kod yürütmesine olanak tanır. Güvenlik açığı yetersiz imza doğrulamasından kaynaklanmaktadır.
Buna yol açabilecek çeşitli kullanım senaryoları vardır. Örneğin, bir kullanıcı, NetExtender istemcisini kötü amaçlı bir VPN sunucusuna bağlaması ve sahte (kötü amaçlı) bir EPC İstemcisi güncellemesi yüklemesi için kandırılabilir.
“SMA Connect Agent yüklendiğinde saldırganlar, NetExtender istemcisini sunucularına bağlanmaya zorlamak için özel bir URI işleyicisinden yararlanabilir. Saldırının başarılı olması için kullanıcıların yalnızca kötü amaçlı bir web sitesini ziyaret etmesi ve tarayıcı istemini kabul etmesi veya kötü amaçlı bir belge açması gerekiyor,” diye açıkladı AmberWolf araştırmacıları başka bir yaklaşımı açıkladı.
SonicWall, bu yılın başında güvenlik açığını NetExtender Windows (32 ve 64 bit) 10.2.341 ve sonraki sürümlerinde yamaladı ve kullanıcıları yükseltmeye çağırdı.
AmberWolf, “Anında yükseltme mümkün değilse, kullanıcıların yanlışlıkla kötü amaçlı sunuculara bağlanmasını önlemek amacıyla bilinen, meşru VPN uç noktalarına erişimi kısıtlamak için bir istemci güvenlik duvarı kullanmayı düşünün” tavsiyesinde bulundu.
Riski anlamaya yardımcı olacak bir araç
Araştırmacılar, “VPN istemcileri güvenli uzaktan erişim için vazgeçilmezdir, ancak yükseltilmiş sistem ayrıcalıkları çok büyük bir saldırı yüzeyi sunuyor” dedi.
“VPN sunucularıyla olan güven ilişkilerindeki kusurları belirledik ve saldırganların minimum etkileşimle ayrıcalıklı erişim elde etmek için bu araçlardan nasıl yararlanabileceğini gösterdik.”
Ayrıca, bu ve diğer güvenlik açıklarından yararlanabilecek hileli VPN sunucularını simüle eden açık kaynaklı bir araç olan NachoVPN’i de piyasaya sürdüler.