"Nachovpn" olarak adlandırılan bir dizi güvenlik açığı, Rogue VPN sunucularının, Patched Palo Alto ve Sonicwall SSL-VPN istemcilerinin kendilerine bağlandığında kötü amaçlı güncellemeler yüklemesine izin verir.
Amberwolf Güvenlik Araştırmacıları, tehdit aktörlerinin potansiyel hedefleri Sonicwall NetExtender ve Palo Alto Networks'lerini, Sosyal Mühendislik veya Kimlik Yardım Saldırılarında kötü amaçlı web siteleri veya belgeler kullanarak saldırgan kontrollü VPN sunucularına bağlamaya bağlamaları için kandırabileceklerini buldular.
Tehdit aktörleri, kurbanların giriş kimlik bilgilerini çalmak, yüksek ayrıcalıklarla keyfi kod yürütmek, güncellemeler yoluyla kötü amaçlı yazılım yüklemek ve kötü niyetli kök sertifikaları yükleyerek kod imzalama sahteciliği veya ortada saldırılar başlatmak için haydut VPN uç noktalarını kullanabilir.
Sonicwall, ilk Mayıs raporundan iki ay sonra Temmuz ayında CVE-2024-29014 NetExtender güvenlik açığını ele almak için yamalar yayınladı ve Palo Alto Networks, CVE-2024-5921 GlobalProtect Kusurası için bugün güvenlik güncellemeleri yayınladı, yedi ay sonra, Nisan ayında ve Amberwolf'un Sans Hackfest Hollywood'da güvenlik açığı ayrıntılarını yayınladıktan neredeyse bir ay sonra kusur.
Sonicwall, müşterilerin güvenlik kusurunu eklemek için NetExtender Windows 10.2.341 veya daha yüksek sürümleri yüklemeleri gerektiğini söylerken, Palo Alto Networks, VPN istemcisini FIPS-CC modunda çalıştırmanın, GlobalProtect 6.2.6 veya üstünü yüklemenin yanı sıra potansiyel saldırıları da azaltabileceğini söylüyor ( güvenlik açığını giderir).
Salı günü, Amberwolf iki güvenlik açıklarıyla ilgili ek ayrıntıları açıkladı ve bu güvenlik açıklarından yararlanabilecek haydut VPN sunucularını simüle eden Nachovpn olarak adlandırılan açık kaynaklı bir araç yayınladı.
Amberwolf, "Araç platform-agnostik, farklı VPN istemcilerini tanımlayabilen ve yanıtını ona bağlanan belirli istemciye göre uyarlayabilmiştir. Aynı zamanda genişletilebilir, topluluk katkılarını teşvik eder ve keşfedildikleri gibi yeni güvenlik açıklarının eklenmesidir," diye açıkladı Amberwolf.
Şirket, "Şu anda Cisco AnyConnect, Sonicwall NetExtender, Palo Alto GlobalProtect ve Ivanti Connect Secure gibi çeşitli popüler kurumsal VPN ürünlerini destekliyor."
Amberwolf ayrıca, Sonicwall NetExtender ve Palo Alto Networks GlobalProtect güvenlik açıkları hakkında daha fazla teknik bilgi içeren tavsiyelerde bulunmanın yanı sıra, savunucuların ağlarını potansiyel saldırılara karşı korumalarına yardımcı olmak için saldırı vektör detayları ve önerileri yayınladı.
Yakın zamanda yamalı böcekler kullanılarak 2.000'den fazla Palo Alto Güvenlik Duvarı saldırıya uğradı
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Palo Alto Networks, saldırılarda sömürülen kritik RCE Zero-Day konusunda uyarıyor
VMware VCenter Server'da kritik RCE hatası artık saldırılarda kullanıldı
Nordvpn Kara Cuma anlaşması: Yıllık aboneliklerde% 74'e varan tasarruf
Kaynak: Bleeping Computer