Pesquisadores de segurança da AmberWolf divulgaram detalhes sobre um novo conjunto de vulnerabilidades, chamado “NachoVPN”, que permite que servidores VPN controlados por atacantes instalem atualizações maliciosas em clientes SSL-VPN da Palo Alto Networks e SonicWall. Esses servidores falsos podem ser usados para roubar credenciais de login, executar códigos maliciosos, instalar softwares indesejados e até realizar ataques como falsificação de assinatura de código ou ataques man-in-the-middle, ao instalar certificados raiz fraudulentos.
Novo Ataque NachoVPN Usa Servidores VPN Falsos para Instalar Atualizações Maliciosas
Os atacantes usam técnicas de engenharia social, como sites maliciosos ou documentos infectados, para induzir vítimas a se conectarem aos servidores VPN controlados por eles. Uma vez conectados, esses servidores podem explorar falhas críticas em clientes VPN desatualizados, como o SonicWall NetExtender e o Palo Alto GlobalProtect, para obter controle sobre o sistema da vítima.
A vulnerabilidade CVE-2024-29014, que afeta o SonicWall NetExtender, foi corrigida com a atualização lançada em julho de 2024. Já a falha CVE-2024-5921, que compromete o Palo Alto GlobalProtect, teve sua correção divulgada apenas em novembro, após meses de alertas.
Ferramenta NachoVPN
Para demonstrar o risco, AmberWolf lançou uma ferramenta open-source chamada NachoVPN, que simula servidores VPN maliciosos capazes de explorar essas falhas. A ferramenta é adaptável, podendo identificar e explorar diferentes clientes VPN, como Cisco AnyConnect, Ivanti Connect Secure, além dos produtos da SonicWall e Palo Alto. A comunidade de segurança pode contribuir com novos recursos à medida que novas vulnerabilidades são descobertas.
Recomendações para Proteger Redes
Para mitigar os riscos, os usuários das plataformas afetadas devem atualizar seus clientes VPN para as versões mais recentes, como o NetExtender 10.2.341 ou superior e o GlobalProtect 6.2.6 ou mais recente. Além disso, a execução do cliente VPN no modo FIPS-CC também oferece uma camada extra de proteção contra possíveis ataques.
A AmberWolf forneceu recomendações detalhadas para ajudar as organizações a protegerem suas redes contra essas ameaças e evitar a exploração dessas vulnerabilidades críticas.