Siber güvenlik araştırmacıları, Palo Alto Networks ve SonicWall sanal özel ağ (VPN) istemcilerini etkileyen ve Windows ve macOS sistemlerinde uzaktan kod yürütme elde etmek için potansiyel olarak istismar edilebilecek bir dizi kusuru ortaya çıkardı.
AmberWolf bir analizde, “Saldırganlar, VPN istemcilerinin sunuculara yerleştirdiği örtülü güveni hedef alarak istemci davranışlarını manipüle edebilir, keyfi komutlar yürütebilir ve minimum çabayla yüksek düzeyde erişim elde edebilir” dedi.
Varsayımsal bir saldırı senaryosunda bu, istemcileri istenmeyen sonuçlara neden olabilecek kötü amaçlı güncellemeleri indirmeleri için kandırabilen hileli bir VPN sunucusu biçiminde gerçekleşir.
Araştırmanın sonucu, NachoVPN adı verilen ve bu tür VPN sunucularını simüle edebilen ve ayrıcalıklı kod yürütme elde etmek için güvenlik açıklarından yararlanabilen bir kavram kanıtı (PoC) saldırı aracıdır.
Tespit edilen kusurlar aşağıda listelenmiştir:
- CVE-2024-5921 (CVSS puanı: 5.6) – Windows, macOS ve Linux için Palo Alto Networks GlobalProtect’i etkileyen, uygulamanın rastgele sunuculara bağlanmasına izin veren ve kötü amaçlı yazılım dağıtımına yol açan yetersiz bir sertifika doğrulama güvenlik açığı (Sürüm 6.2.6’da ele alınmıştır) Windows)
- CVE-2024-29014 (CVSS puanı: 7.1) – SonicWall SMA100 NetExtender Windows istemcisini etkileyen ve bir saldırganın Uç Nokta Denetimi (EPC) İstemcisi güncellemesini işlerken rastgele kod yürütmesine izin verebilecek bir güvenlik açığı. (10.2.339 ve önceki sürümleri etkiler; 10.2.341 sürümünde ele alınmıştır)
Palo Alto Networks, saldırganın uç noktaya kötü amaçlı kök sertifikalar yükleyebilmesi ve bu uç noktaya kötü amaçlı kök sertifikalar tarafından imzalanan kötü amaçlı yazılımları yükleyebilmesi için ya yerel yönetici olmayan bir işletim sistemi kullanıcısı olarak erişime sahip olması ya da aynı alt ağda bulunması gerektiğini vurguladı. uç nokta.
Bunu yaparken GlobalProtect uygulaması, kurbanın VPN kimlik bilgilerini çalmak, yükseltilmiş ayrıcalıklarla rastgele kod yürütmek ve diğer saldırıları kolaylaştırmak için kullanılabilecek kötü amaçlı kök sertifikaları yüklemek için silah haline getirilebilir.
Benzer şekilde, bir saldırgan, bir kullanıcıyı NetExtender istemcisini kötü amaçlı bir VPN sunucusuna bağlaması için kandırabilir ve ardından SİSTEM ayrıcalıklarıyla kod yürütmek için geçerli ancak çalınmış bir sertifikayla imzalanmış sahte bir EPC İstemcisi güncellemesi gönderebilir.
AmberWolf, “Saldırganlar, NetExtender istemcisini sunucularına bağlanmaya zorlamak için özel bir URI işleyicisinden yararlanabilir” dedi. “Saldırının başarılı olması için kullanıcıların yalnızca kötü amaçlı bir web sitesini ziyaret etmesi ve tarayıcı istemini kabul etmesi veya kötü amaçlı bir belgeyi açması gerekir.”
Bu eksikliklerin yaygın olarak kullanıldığına dair bir kanıt olmasa da, Palo Alto Networks GlobalProtect ve SonicWall NetExtender kullanıcılarının potansiyel tehditlere karşı korunmak için en son yamaları uygulamaları tavsiye edilir.
Bu gelişme, Bishop Fox’tan araştırmacıların, SonicWall güvenlik duvarı güvenliğinin mevcut durumunu internete yönelik maruziyetlere dayalı olarak değerlendirmek amacıyla, güvenlik açığı araştırmasına daha fazla yardımcı olmak ve parmak izi alma yetenekleri geliştirmek amacıyla SonicWall güvenlik duvarlarında yerleşik donanım yazılımının şifresini çözme ve analiz etme yaklaşımını ayrıntılı olarak açıklamasıyla ortaya çıktı.