Pesquisadores da AmberWolf revelaram vulnerabilidades em diversos clientes VPN, demonstrando como a superfície de ataque introduzida por essas ferramentas pode ser explorada. Usando uma ferramenta de código aberto chamada NachoVPN, eles mostraram ataques direcionados a produtos da Palo Alto Networks, SonicWall, Cisco e Ivanti. A ferramenta permite simular um servidor VPN desonesto para explorar falhas nos clientes que se conectam a ele.
Leia também
IBM anuncia computador quântico 50X mais rápido
I.A. já é foco de 10% dos ethical hackers
Entre as vulnerabilidades descobertas, destaca-se o problema no cliente GlobalProtect VPN da Palo Alto Networks, rastreado como CVE-2024-5921. Essa falha, de gravidade média, envolve validação insuficiente de certificados e pode ser usada para instalar certificados maliciosos, obter execução remota de código e escalonar privilégios. A exploração depende de engenharia social para enganar a vítima a se conectar a um servidor VPN desonesto. A Palo Alto corrigiu o problema em 26 de novembro com o lançamento do GlobalProtect 6.2.6 para Windows e disponibilizou mitigações.
Outra vulnerabilidade identificada pelos pesquisadores afeta o cliente SMA100 NetExtender para Windows, da SonicWall, rastreada como CVE-2024-29014. Classificada como de alta gravidade, a falha permite execução remota de código com privilégios de sistema, bastando que a vítima visite um site malicioso e aceite um prompt do navegador. A SonicWall lançou patches em julho para corrigir o problema e informou que seus firewalls SonicOS e o cliente NetExtender para Linux não são afetados.
A NachoVPN também mostrou ser eficaz contra falhas mais antigas nos clientes Cisco AnyConnect e Ivanti Connect Secure, reforçando como vulnerabilidades não corrigidas continuam sendo um vetor de ataque relevante. Com sua arquitetura baseada em plug-ins, a ferramenta permite que usuários adicionem suporte para outros produtos, ampliando o escopo de exploração.
Os pesquisadores alertam que a relação de confiança entre clientes VPN e servidores precisa ser revisada, especialmente considerando que ataques como esses dependem de vetores simples, como engenharia social. Eles destacaram que mesmo vulnerabilidades corrigidas podem ser exploradas se os usuários não mantiverem os sistemas atualizados.