NachoVPN: Sicherheitslücken in VPN-Clients von Palo Alto und SonicWall entdeckt

MÜNCHEN (IT BOLTWISE) – Sicherheitsforscher haben Schwachstellen in den VPN-Clients von Palo Alto Networks und SonicWall aufgedeckt, die potenziell zur Ausführung von Remote-Code auf Windows- und macOS-Systemen ausgenutzt werden könnten.

In der Welt der Cybersicherheit hat eine neue Entdeckung für Aufsehen gesorgt: Schwachstellen in den VPN-Clients von Palo Alto Networks und SonicWall könnten Angreifern die Möglichkeit bieten, Remote-Code auf Windows- und macOS-Systemen auszuführen. Diese Sicherheitslücken, die von den Forschern von AmberWolf aufgedeckt wurden, basieren auf dem impliziten Vertrauen, das VPN-Clients in ihre Server setzen. Angreifer könnten dieses Vertrauen ausnutzen, um das Verhalten der Clients zu manipulieren, beliebige Befehle auszuführen und mit minimalem Aufwand hohen Zugriff zu erlangen.

Ein hypothetisches Angriffsszenario könnte durch einen bösartigen VPN-Server realisiert werden, der die Clients dazu verleitet, schädliche Updates herunterzuladen. Diese könnten dann ungewollte Konsequenzen nach sich ziehen. Die Untersuchung führte zur Entwicklung eines Proof-of-Concept (PoC) Angriffswerkzeugs namens NachoVPN, das solche VPN-Server simulieren und die Schwachstellen ausnutzen kann, um privilegierte Codeausführung zu erreichen.

Zu den identifizierten Schwachstellen gehört CVE-2024-5921, eine unzureichende Zertifikatsvalidierung in Palo Alto Networks GlobalProtect, die es ermöglicht, die App mit beliebigen Servern zu verbinden und schädliche Software zu installieren. Diese Schwachstelle wurde in der Version 6.2.6 für Windows behoben. Eine weitere Schwachstelle, CVE-2024-29014, betrifft den SonicWall SMA100 NetExtender Windows-Client und könnte es einem Angreifer ermöglichen, beliebigen Code auszuführen, wenn ein End Point Control (EPC) Client-Update verarbeitet wird.

Palo Alto Networks betont, dass der Angreifer entweder als lokaler nicht-administrativer Betriebssystembenutzer Zugriff haben oder im selben Subnetz sein muss, um bösartige Root-Zertifikate auf dem Endpunkt zu installieren. Dadurch könnte die GlobalProtect-App genutzt werden, um die VPN-Anmeldedaten eines Opfers zu stehlen, beliebigen Code mit erhöhten Rechten auszuführen und bösartige Root-Zertifikate zu installieren, die für weitere Angriffe verwendet werden könnten.

Ein Angreifer könnte einen Benutzer dazu verleiten, seinen NetExtender-Client mit einem bösartigen VPN-Server zu verbinden und dann ein gefälschtes EPC Client-Update zu liefern, das mit einem gültigen, aber gestohlenen Zertifikat signiert ist, um letztendlich Code mit SYSTEM-Rechten auszuführen. AmberWolf erklärt, dass Angreifer einen benutzerdefinierten URI-Handler ausnutzen können, um den NetExtender-Client zu zwingen, sich mit ihrem Server zu verbinden. Benutzer müssen lediglich eine bösartige Website besuchen und eine Browser-Eingabeaufforderung akzeptieren oder ein bösartiges Dokument öffnen, damit der Angriff erfolgreich ist.

Obwohl es keine Hinweise darauf gibt, dass diese Schwachstellen bereits in freier Wildbahn ausgenutzt wurden, wird Benutzern von Palo Alto Networks GlobalProtect und SonicWall NetExtender dringend empfohlen, die neuesten Patches zu installieren, um sich vor potenziellen Bedrohungen zu schützen. Diese Entwicklungen kommen zu einem Zeitpunkt, an dem Forscher von Bishop Fox ihre Ansätze zur Entschlüsselung und Analyse der in SonicWall-Firewalls eingebetteten Firmware detailliert beschrieben haben, um die Sicherheitslage von SonicWall-Firewalls weiter zu untersuchen.