本文来自微信公众号“嘶吼专业版”,【作者】胡金鱼。
一组被称为“NachoVPN”的漏洞允许流氓VPN服务器在未修补的Palo Alto和SonicWall SSL-VPN客户端连接到它们时安装恶意更新。
安全研究人员发现,威胁者可以利用社交工程或网络钓鱼攻击中的恶意网站或文档,诱骗潜在目标将其SonicWall NetExtender和Palo Alto Networks GlobalProtect VPN客户端连接到攻击者控制的VPN服务器。
威胁者可以使用恶意VPN端点窃取受害者的登录凭据、以提升的权限执行任意代码、通过更新安装恶意软件,以及通过安装恶意根证书发起代码签名伪造或中间人攻击。
SonicWall在7月份发布了补丁来解决CVE-2024-29014 NetExtender漏洞,距5月份初次报告两个月后,Palo Alto Networks本周发布了针对CVE-2024-5921 GlobalProtect漏洞的安全更新。
虽然SonicWall表示客户必须安装NetExtender Windows 10.2.341或更高版本来修补安全漏洞,但Palo Alto Networks表示,除了安装GlobalProtect 6.2.6或更高版本之外,在FIPS-CC模式下运行VPN客户端还可以减轻潜在的攻击(其中修复了该漏洞)。
上周,AmberWolf披露了有关这两个漏洞的更多详细信息,并发布了一个名为NachoVPN的开源工具,该工具模拟可以利用这些漏洞的流氓VPN服务器。
经证实,该工具与平台无关,能够识别不同的VPN客户端,并根据连接到它的特定客户端调整其响应。它也是可扩展的,建议在发现新漏洞时添加它们。
AmberWolf还在该工具的GitHub页面上表示,它目前支持各种流行的企业VPN产品,例如Cisco AnyConnect、SonicWall NetExtender、Palo Alto GlobalProtect和Ivanti Connect Secure。
参考及来源:https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/
