image

Malafide vpn-server kan via SonicWall en Palo Alto-lekken malware installeren

woensdag 27 november 2024, 11:05 door Redactie, 5 reacties

Twee kwetsbaarheden in de vpn-software van SonicWall en Palo Alto Networks maken het mogelijk voor aanvallers om via een malafide vpn-server bij gebruikers malware te installeren als die verbinding met de server maken, zo laten onderzoekers van securitybedrijf AmberWolf weten. Beide bedrijven hebben inmiddels beveiligingsupdates voor de kwetsbaarheden (CVE-2024-29014 en CVE-2024-5921) uitgebracht.

In het geval van SonicWall bevindt de kwetsbaarheid zich in de SonicWALL NetExtender vpn-client voor Windows versie 10.2.339. De software laat gebruikers verbinding met een vpn-server maken. De kwetsbaarheid (CVE-2024-29014) maakt het mogelijk voor een aanvaller om malafide updates naar gebruikers te sturen als die verbinding met een malafide vpn-server maken. Een aanvaller zou dit bijvoorbeeld door middel van social engineering kunnen doen.

Zodra de gebruiker verbonden met de malafide vpn-server is kan de aanvaller een malafide update naar de gebruiker sturen. De enige voorwaarde is dat de 'update' gesigneerd is met een geldig code-signing certificaat. Dergelijke certificaten kunnen aanvallers bij derde partijen stelen of zelf aanschaffen. Vervolgens is het mogelijk om code op het systeem van de gebruiker met SYSTEM-rechten uit te voeren.

Een andere aanvalsvector is via de SonicWall SMA Connect Agent die op basis van web-requests de vpn-client kan starten. Zodra de gebruiker een malafide website bezoekt kan die een request versturen waardoor de SMA Connect Agent verbinding met de malafide vpn-server maakt en de aanvaller de update naar het systeem van de gebruiker kan sturen, zo stellen de onderzoekers in hun analyse.

De kwetsbaarheid in de GlobalProtect vpn-client van Palo Alto Networks is ook door middel van een malafide update te misbruiken. Wederom moet een gebruiker eerst met de vpn-server van de aanvallers verbinding maken. Vervolgens zijn zowel macOS- als Windows-gebruikers van de software aan te vallen. Een aanvaller kan daarna inloggegevens stelen, willekeurige code met verhoogde rechten uitvoeren en een malafide rootcertificaat installeren, wat verdere aanvallen mogelijk maakt.

De onderzoekers van AmberWolf gaven onlangs een presentatie over de twee kwetsbaarheden en maakten een opensourcetool genaamd NachoVPN beschikbaar, waarmee de aanvallen zijn uit te voeren.

Reacties (5)
27-11-2024, 13:50 door Anoniem
Daarom altijd inkomend verkeer blokkeren op vpn-clients en -daemons.
27-11-2024, 18:09 door Anoniem
En alleen MANAGED devices toegang verlenen voorzien van Endpoint protectie i.c.m. GlobalProtect
28-11-2024, 08:28 door Anoniem
Door Anoniem: En alleen MANAGED devices toegang verlenen voorzien van Endpoint protectie i.c.m. GlobalProtect

Nog MEER applicaties die lek kunnen zijn als vereisten definieren lijkt mij geen strak plan.
Het faciliteren van het falen vind ik nogal wat.

Simpel: op slot dat ding, van het web af en laat iemand maar naar kantoor gaan om veranderingen aan te brengen tot het is opgelost.
28-11-2024, 08:55 door Anoniem
Helpt een firewall op de VPN interface hier dan tegen?
Ik verwacht dat de VPN client na connectie zelf aan de VPN server vraagt of er updates beschikbaar zijn.
Zo werkt dat iig wel bij Cisco anyconnect
28-11-2024, 15:58 door Anoniem
Palo Alto heeft een update voor de 6.2 versie, met nog enkele aanvullingen.
https://security.paloaltonetworks.com/CVE-2024-5921

Helaas is er nog geen fix voor de 6,3 versie
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.