Twee kwetsbaarheden in de vpn-software van SonicWall en Palo Alto Networks maken het mogelijk voor aanvallers om via een malafide vpn-server bij gebruikers malware te installeren als die verbinding met de server maken, zo laten onderzoekers van securitybedrijf AmberWolf weten. Beide bedrijven hebben inmiddels beveiligingsupdates voor de kwetsbaarheden (CVE-2024-29014 en CVE-2024-5921) uitgebracht.
In het geval van SonicWall bevindt de kwetsbaarheid zich in de SonicWALL NetExtender vpn-client voor Windows versie 10.2.339. De software laat gebruikers verbinding met een vpn-server maken. De kwetsbaarheid (CVE-2024-29014) maakt het mogelijk voor een aanvaller om malafide updates naar gebruikers te sturen als die verbinding met een malafide vpn-server maken. Een aanvaller zou dit bijvoorbeeld door middel van social engineering kunnen doen.
Zodra de gebruiker verbonden met de malafide vpn-server is kan de aanvaller een malafide update naar de gebruiker sturen. De enige voorwaarde is dat de 'update' gesigneerd is met een geldig code-signing certificaat. Dergelijke certificaten kunnen aanvallers bij derde partijen stelen of zelf aanschaffen. Vervolgens is het mogelijk om code op het systeem van de gebruiker met SYSTEM-rechten uit te voeren.
Een andere aanvalsvector is via de SonicWall SMA Connect Agent die op basis van web-requests de vpn-client kan starten. Zodra de gebruiker een malafide website bezoekt kan die een request versturen waardoor de SMA Connect Agent verbinding met de malafide vpn-server maakt en de aanvaller de update naar het systeem van de gebruiker kan sturen, zo stellen de onderzoekers in hun analyse.
De kwetsbaarheid in de GlobalProtect vpn-client van Palo Alto Networks is ook door middel van een malafide update te misbruiken. Wederom moet een gebruiker eerst met de vpn-server van de aanvallers verbinding maken. Vervolgens zijn zowel macOS- als Windows-gebruikers van de software aan te vallen. Een aanvaller kan daarna inloggegevens stelen, willekeurige code met verhoogde rechten uitvoeren en een malafide rootcertificaat installeren, wat verdere aanvallen mogelijk maakt.
De onderzoekers van AmberWolf gaven onlangs een presentatie over de twee kwetsbaarheden en maakten een opensourcetool genaamd NachoVPN beschikbaar, waarmee de aanvallen zijn uit te voeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.