Forscher von AmberWolf, einem Anbieter für Offensive Cyber Solutions, haben Details zu einer neuen Angriffsmethode veröffentlicht, die gegen weit verbreitete Unternehmens-VPN-Clients ausgenutzt werden kann.
VPNs werden häufig von Organisationen für sicheren Remote-Zugriff genutzt, doch die Forscher von AmberWolf zeigen, dass die Angriffsfläche, die sie bieten, nicht ignoriert werden sollte. Sie veröffentlichten auch ein Open-Source-Tool namens NachoVPN, das den Angriff gegen Palo Alto Networks und SonicWall VPNs über kürzlich behobene Sicherheitslücken sowie gegen Cisco AnyConnect und Ivanti Connect Secure durch ältere Schwachstellen demonstriert. Die plugin-basierte Architektur des Tools ermöglicht es Nutzern, Unterstützung für weitere Produkte hinzuzufügen.
Der Angriff funktioniert sowohl unter Windows als auch unter macOS und nutzt die Vertrauensbeziehung zwischen dem VPN-Client und dem Server aus. NachoVPN ist so konzipiert, dass es einen falschen VPN-Server simuliert, der die Schwachstellen in den VPN-Clients ausnutzt, die sich mit ihm verbinden.
Wichtige identifizierte Schwachstellen:
- Palo Alto Networks – Die Schwachstelle, die als CVE-2024-5921 verfolgt wird, betrifft den GlobalProtect VPN-Client für Windows, macOS und Linux. Die Forscher von AmberWolf zeigten, wie ein Angreifer die Schwachstelle im automatischen Update-Mechanismus des Clients ausnutzen kann, um ein bösartiges Root-Zertifikat zu installieren, was zu Remote Code Execution und Privilegieneskalation führen kann. Der Angriff erfordert, dass der Benutzer durch Social Engineering dazu gebracht wird, sich mit dem bösartigen VPN-Server zu verbinden. Palo Alto Networks hat am 26. November 2024 Patches veröffentlicht und bietet Mitigationen für betroffene Systeme an.
- SonicWall – Der SMA100 NetExtender VPN-Client für Windows ist aufgrund einer Schwachstelle, die als CVE-2024-29014 verfolgt wird, anfällig für Remote Code Execution mit Systemprivilegien. AmberWolf fand heraus, dass ein Angreifer diese Schwachstelle ausnutzen kann, indem der Zielbenutzer eine bösartige Website besucht und eine Browseraufforderung akzeptiert. SonicWall hat dieses Problem im Juli 2024 mit Patches behoben. Die Schwachstelle betrifft jedoch nicht SonicOS-Firewalls oder den NetExtender-Client für Linux.
- Cisco AnyConnect und Ivanti Connect Secure – AmberWolf hat auch diese VPN-Produkte mit älteren Schwachstellen getestet, jedoch wurden keine spezifischen Details zu diesen Schwachstellen veröffentlicht.
Angriffsmethode:
Die Methode funktioniert sowohl unter Windows als auch unter macOS. Sie basiert darauf, dass der VPN-Client dem bösartigen Server genug Vertrauen entgegenbringt, um die Schwachstellen auszunutzen. Das NachoVPN-Tool simuliert einen solchen Server und nutzt die Schwachstellen aus, um den Client zu kompromittieren.
Auswirkungen:
Die von AmberWolf identifizierten Schwachstellen sind kritisch, da sie Angreifern ermöglichen, Remote Code Execution durchzuführen, Privilegien zu eskalieren und Sicherheitsmaßnahmen zu umgehen. Während zum Zeitpunkt der Veröffentlichung keine aktiven Exploits gemeldet wurden, erhöht die Verfügbarkeit eines Proof of Concept-Tools wie NachoVPN das Risiko einer Ausnutzung erheblich.
Mitigation:
Organisationen, die betroffene VPN-Clients verwenden, sollten dringend:
- Auf die neuesten Versionen der Software aktualisieren, wie z. B. GlobalProtect 6.2.6 für Palo Alto Networks und die Patches für die Schwachstellen von SonicWall anwenden.
- Netzwerkssegmente implementieren, um die Exponierung von VPN-Clients gegenüber externen bösartigen Servern zu begrenzen.
- Benutzer darin schulen, vorsichtig zu sein, wenn sie sich mit nicht vertrauenswürdigen VPN-Servern verbinden, insbesondere wenn Social Engineering-Taktiken verwendet werden.
Zusammenfassend unterstreicht diese Forschung die Bedeutung regelmäßiger Updates für VPN-Software und die Notwendigkeit, wachsam gegenüber möglichen Bedrohungen zu bleiben, die durch vertrauensbasierte Schwachstellen in VPN-Produkten entstehen können.
