“NachoVPN” olarak adlandırılan bir dizi güvenlik açığı, hileli VPN sunucularının, yama yapılmamış Palo Alto ve SonicWall SSL-VPN istemcileri onlara bağlandığında kötü amaçlı güncellemeler yüklemesine olanak tanıyor.
AmberWolf güvenlik araştırmacıları, saldırganların sosyal mühendislik veya kimlik avı saldırılarında kötü amaçlı web siteleri veya belgeleri kullanarak SonicWall NetExtender ve Palo Alto Networks GlobalProtect VPN istemcilerini kötü amaçlı VPN sunucularına bağlamaları için potansiyel hedefleri kandırabileceklerini buldu.
Tehdit aktörleri, kurbanların oturum açma kimlik bilgilerini çalmak, yükseltilmiş ayrıcalıklarla rastgele kod yürütmek, güncellemeler yoluyla kötü amaçlı yazılım yüklemek ve kötü amaçlı kök sertifikalar yükleyerek kod imzalama sahteciliği veya ortadaki adam saldırıları başlatmak için hileli VPN uç noktalarını kullanabilir.
SonicWall, ilk Mayıs raporundan iki ay sonra, Temmuz ayında CVE-2024-29014 NetExtender güvenlik açığını gidermek için yamalar yayınladı ve Palo Alto Networks, kendilerine bilgi verildikten yedi ay sonra CVE-2024-5921 GlobalProtect kusuru için güvenlik güncellemelerini bugün yayınladı. Bu kusur Nisan ayında ve AmberWolf’un SANS HackFest Hollywood’da güvenlik açığı ayrıntılarını yayınlamasından neredeyse bir ay sonra gerçekleşti.
SonicWall, müşterilerin güvenlik açığını düzeltmek için NetExtender Windows 10.2.341 veya daha yüksek sürümlerini yüklemeleri gerektiğini söylese de Palo Alto Networks, VPN istemcisini FIPS-CC modunda çalıştırmanın, GlobalProtect 6.2.6 veya sonraki sürümünü yüklemenin yanı sıra potansiyel saldırıları da azaltabileceğini söylüyor (bu, güvenlik açığını giderir).
Salı günü AmberWolf, iki güvenlik açığıyla ilgili ek ayrıntıları açıkladı ve bu güvenlik açıklarından yararlanabilecek sahte VPN sunucularını simüle eden NachoVPN adlı açık kaynaklı bir aracı yayınladı.
AmberWolf, “Araç platformdan bağımsızdır, farklı VPN istemcilerini tanımlama ve kendisine bağlanan belirli istemcilere göre yanıtını uyarlama yeteneğine sahiptir. Ayrıca genişletilebilir, topluluk katkılarını teşvik eder ve keşfedildikçe yeni güvenlik açıklarının eklenmesini teşvik eder,” diye açıkladı.
Şirket, aracın GitHub sayfasına şunları ekledi: “Şu anda Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect ve Ivanti Connect Secure gibi çeşitli popüler kurumsal VPN ürünlerini destekliyor.”
AmberWolf ayrıca SonicWall NetExtender ve Palo Alto Networks GlobalProtect güvenlik açıklarına ilişkin daha fazla teknik bilgi içeren tavsiyelerin yanı sıra savunucuların ağlarını potansiyel saldırılara karşı korumalarına yardımcı olacak saldırı vektör ayrıntıları ve öneriler de yayınladı.