Hacker

NachoVPN」と呼ばれる一連の脆弱性により、パッチの適用されていないPalo AltoおよびSonicWall SSL-VPNクライアントが不正なVPNサーバーに接続すると、不正なアップデートがインストールされる。

AmberWolfのセキュリティ研究者は、ソーシャルエンジニアリングやフィッシング攻撃で悪意のあるWebサイトやドキュメントを使用することで、潜在的な標的を騙してSonicWall NetExtenderやPalo Alto Networks GlobalProtect VPNクライアントを攻撃者が管理するVPNサーバーに接続させることができることを発見しました。

脅威者は、不正なVPNエンドポイントを使用して、被害者のログイン認証情報を盗んだり、昇格した権限で任意のコードを実行したり、更新経由で悪意のあるソフトウェアをインストールしたり、悪意のあるルート証明書をインストールすることでコード署名偽造や中間者攻撃を仕掛けたりすることができます。

SonicWallは、5月の最初の報告から2カ月後の7月に、CVE-2024-29014NetExtenderの脆弱性に対処するパッチをリリースし、Palo Alto Networksは、4月にこの欠陥が報告されてから7カ月後、AmberWolfがSANS HackFest Hollywoodで脆弱性の詳細を発表してから約1カ月後に、CVE-2024-5921GlobalProtectの欠陥に対するセキュリティアップデートを本日リリースした。

SonicWallによると、このセキュリティ欠陥を修正するには、NetExtender Windows 10.2.341またはそれ以上のバージョンをインストールする必要があるが、Palo Alto Networksによると、GlobalProtect 6.2.6以降(この脆弱性を修正する)をインストールする以外にも、VPNクライアントをFIPS-CCモードで実行することで潜在的な攻撃を軽減できるという。

火曜日に、AmberWolfは2つの脆弱性に関する追加情報を公開し、これらの脆弱性を悪用する不正なVPNサーバーをシミュレートするNachoVPNと名付けられたオープンソースツールをリリースした。

「このツールはプラットフォームにとらわれず、異なるVPNクライアントを識別し、接続する特定のクライアントに応じた対応を行うことができる。また、コミュニティの貢献や、発見された新しい脆弱性の追加を奨励し、拡張可能です」とアンバーウルフは説明している

「現在、Cisco AnyConnect、SonicWall NetExtender、Palo Alto GlobalProtect、Ivanti Connect Secureなど、さまざまな一般的な企業向けVPN製品をサポートしています」と、同社はツールのGitHubページに付け加えた。

AmberWolfはまた、SonicWall NetExtenderと Palo Alto Networks GlobalProtectの脆弱性に関する技術情報、攻撃ベクトルの詳細、および潜在的な攻撃からネットワークを保護するための推奨事項を含むアドバイザリもリリースした。