Los investigadores han descubierto vulnerabilidades en el proceso de actualización de los clientes VPN corporativos de Palo Alto Networks (CVE-2024-5921) y SonicWall (CVE-2024-29014) que podrían explotarse para ejecutar código de forma remota en los dispositivos de los usuarios.
CVE-2024-5921
CVE-2024-5921 afecta a varias versiones de la aplicación GlobalProtect de Palo Alto en Windows, macOS y Linux, y se debe a una validación de certificación insuficiente.
Esto permite a los atacantes conectar la aplicación GlobalProtect a servidores arbitrarios, confirmó la compañía , y señaló que esto puede provocar que los atacantes instalen certificados raíz maliciosos en el punto final y posteriormente instalen software malicioso firmado por estos certificados.
“Tanto la versión para Windows como la versión para macOS del cliente VPN de GlobalProtect son vulnerables a la ejecución remota de código (RCE) y a la escalada de privilegios a través del mecanismo de actualización automática. Si bien el proceso de actualización requiere que los archivos MSI estén firmados, los atacantes pueden explotar el servicio PanGPS para instalar un certificado raíz de confianza malintencionada, lo que permite la ejecución remota de código y la escalada de privilegios. Las actualizaciones se ejecutan con el nivel de privilegio del componente de servicio (SYSTEM en Windows y root en macOS)”, explicaron los investigadores de AmberWolf, Richard Warren y David Cash.
“De forma predeterminada, los usuarios pueden especificar puntos finales arbitrarios en el componente de interfaz de usuario del cliente VPN (PanGPA). Este comportamiento se puede aprovechar en ataques de ingeniería social, en los que los atacantes engañan a los usuarios para que se conecten a servidores VPN no autorizados. Estos servidores pueden capturar credenciales de inicio de sesión y comprometer los sistemas mediante actualizaciones maliciosas del cliente”.
«Este problema se ha solucionado en la aplicación GlobalProtect 6.2.6 y en todas las versiones posteriores de la aplicación GlobalProtect 6.2 en Windows», afirma Palo Alto. La empresa también ha introducido un parámetro de configuración adicional (FULLCHAINCERTVERIFY) que debería estar habilitado para aplicar una validación de certificados más estricta en el almacén de certificados de confianza del sistema.
Actualmente no hay correcciones para las versiones macOS o Linux de la aplicación, según el aviso de seguridad de PAN.
Sin embargo, hay una solución alternativa o mitigación disponible que consiste en habilitar el modo FIPS-CC para la aplicación GlobalProtect en los puntos finales (y habilitar el modo FIPS-CC en el portal/puerta de enlace de GlobalProtect).
Los investigadores de AmberWolf afirman que también se pueden implementar reglas de firewall basadas en el host para evitar que los usuarios se conecten a servidores VPN maliciosos.
CVE-2024-29014
La vulnerabilidad CVE-2024-29014 afecta al cliente VPN NetExtender de SonicWall para las versiones de Windows 10.2.339 y anteriores, y permite a los atacantes ejecutar código con privilegios de SISTEMA cuando se procesa una actualización del cliente End Point Control (EPC). La vulnerabilidad se origina en una validación de firmas insuficiente.
Existen varios escenarios de explotación que podrían llevar a esto. Por ejemplo, se puede engañar a un usuario para que conecte su cliente NetExtender a un servidor VPN malicioso e instale una actualización falsa (maliciosa) del cliente EPC.
“Cuando se instala el agente SMA Connect, los atacantes pueden explotar un controlador de URI personalizado para obligar al cliente NetExtender a conectarse a su servidor. Los usuarios solo necesitan visitar un sitio web malicioso y aceptar un mensaje del navegador, o abrir un documento malicioso para que el ataque tenga éxito”, explicaron los investigadores de AmberWolf sobre otro enfoque.
SonicWall solucionó la vulnerabilidad a principios de este año en NetExtender Windows (32 y 64 bits) 10.2.341 y versiones posteriores, e instó a los usuarios a actualizar.
“Si no es posible realizar una actualización inmediata, considere usar un firewall de cliente para restringir el acceso a puntos finales VPN legítimos y conocidos para evitar que los usuarios se conecten inadvertidamente a servidores maliciosos”, aconsejó AmberWolf.
Una herramienta para ayudar a comprender el riesgo
“Los clientes VPN son indispensables para el acceso remoto seguro , pero sus elevados privilegios de sistema presentan una enorme superficie de ataque”, señalaron los investigadores.
“Identificamos fallas en su relación de confianza con los servidores VPN, lo que demuestra cómo los atacantes podrían explotar estas herramientas para obtener acceso privilegiado con una interacción mínima”.
Fuente y redacción: helpnetsecurity.com
