Novo ataque NachoVPN usa servidores VPN falsos para instalar atualizações maliciosas

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...

Pesquisadores de segurança da AmberWolf divulgaram detalhes sobre um novo conjunto de vulnerabilidades, chamado “NachoVPN”, que permite que servidores VPN controlados por atacantes instalem atualizações maliciosas em clientes SSL-VPN da Palo Alto Networks e SonicWall. Esses servidores falsos podem ser usados para roubar credenciais de login, executar códigos maliciosos, instalar softwares indesejados e até realizar ataques como falsificação de assinatura de código ou ataques man-in-the-middle, ao instalar certificados raiz fraudulentos.

Novo Ataque NachoVPN Usa Servidores VPN Falsos para Instalar Atualizações Maliciosas

Imagem de hacker
Imagem: Bleeping Computer

Os atacantes usam técnicas de engenharia social, como sites maliciosos ou documentos infectados, para induzir vítimas a se conectarem aos servidores VPN controlados por eles. Uma vez conectados, esses servidores podem explorar falhas críticas em clientes VPN desatualizados, como o SonicWall NetExtender e o Palo Alto GlobalProtect, para obter controle sobre o sistema da vítima.

A vulnerabilidade CVE-2024-29014, que afeta o SonicWall NetExtender, foi corrigida com a atualização lançada em julho de 2024. Já a falha CVE-2024-5921, que compromete o Palo Alto GlobalProtect, teve sua correção divulgada apenas em novembro, após meses de alertas.

Ferramenta NachoVPN

Para demonstrar o risco, AmberWolf lançou uma ferramenta open-source chamada NachoVPN, que simula servidores VPN maliciosos capazes de explorar essas falhas. A ferramenta é adaptável, podendo identificar e explorar diferentes clientes VPN, como Cisco AnyConnect, Ivanti Connect Secure, além dos produtos da SonicWall e Palo Alto. A comunidade de segurança pode contribuir com novos recursos à medida que novas vulnerabilidades são descobertas.

Recomendações para Proteger Redes

Para mitigar os riscos, os usuários das plataformas afetadas devem atualizar seus clientes VPN para as versões mais recentes, como o NetExtender 10.2.341 ou superior e o GlobalProtect 6.2.6 ou mais recente. Além disso, a execução do cliente VPN no modo FIPS-CC também oferece uma camada extra de proteção contra possíveis ataques.

A AmberWolf forneceu recomendações detalhadas para ajudar as organizações a protegerem suas redes contra essas ameaças e evitar a exploração dessas vulnerabilidades críticas.

Compartilhe este artigo