研究人員發(fā)現(xiàn)了Palo Alto Networks（CVE-2024-5921）和SonicWall（CVE-2024-29014）企業(yè)VPN客戶端更新過程中的漏洞，這些漏洞可能被利用來遠(yuǎn)程執(zhí)行代碼。

CVE-2024-5921

CVE-2024-5921影響Palo Alto的GlobalProtect App在Windows、macOS和Linux上的多個版本，起因是認(rèn)證驗證不足。

該公司確認(rèn)，這使得攻擊者能夠?qū)lobalProtect應(yīng)用連接到任意服務(wù)器，并且指出這可能導(dǎo)致攻擊者在終端安裝惡意根證書，隨后安裝由這些證書簽名的惡意軟件。

AmberWolf研究人員Richard Warren和David Cash解釋說：“GlobalProtect VPN客戶端的Windows和macOS版本都容易受到遠(yuǎn)程代碼執(zhí)行（RCE）和權(quán)限提升的影響，這是通過自動更新機(jī)制實現(xiàn)的。雖然更新過程要求MSI文件必須簽名，但攻擊者可以利用PanGPS服務(wù)安裝一個惡意信任的根證書，從而實現(xiàn)RCE和權(quán)限提升。更新執(zhí)行時具有服務(wù)組件的權(quán)限級別（Windows上的SYSTEM和macOS上的root）。”

“默認(rèn)情況下，用戶可以在VPN客戶端的用戶界面組件（PanGPA）中指定任意端點。這種行為可以被利用于社交工程攻擊中，攻擊者誘騙用戶連接到惡意VPN服務(wù)器。這些服務(wù)器可以捕獲登錄憑證，并通過惡意客戶端更新破壞系統(tǒng)?！?/p>

Palo Alto表示：“這個問題在GlobalProtect應(yīng)用6.2.6及所有后續(xù)的6.2版本中已修復(fù)?！痹摴具€引入了一個額外的配置參數(shù)（FULLCHAINCERTVERIFY），應(yīng)該啟用以加強(qiáng)對系統(tǒng)信任證書庫的證書驗證。

根據(jù)PAN的安全咨詢，目前還沒有針對macOS或Linux版本的應(yīng)用的修復(fù)。

不過，有一個權(quán)宜之計/緩解措施，即在端點上為GlobalProtect應(yīng)用啟用FIPS-CC模式（并在GlobalProtect門戶/網(wǎng)關(guān)上啟用FIPS-CC模式）。

AmberWolf研究人員表示，還可以實施基于主機(jī)的防火墻規(guī)則，以防止用戶連接到惡意VPN服務(wù)器。

CVE-2024-29014

CVE-2024-29014影響SonicWall的NetExtender VPN客戶端在Windows版本10.2.339及更早版本，當(dāng)處理端點控制（EPC）客戶端更新時，允許攻擊者以SYSTEM權(quán)限執(zhí)行代碼。該漏洞源于簽名驗證不足。

有幾種利用場景可能導(dǎo)致這種情況。例如，用戶可能被誘騙將他們的NetExtender客戶端連接到惡意VPN服務(wù)器，并安裝假冒的（惡意的）EPC客戶端更新。

AmberWolf研究人員解釋了另一種方法：“當(dāng)安裝了SMA Connect代理時，攻擊者可以利用自定義URI處理程序強(qiáng)制NetExtender客戶端連接到他們的服務(wù)器。用戶只需要訪問惡意網(wǎng)站并接受瀏覽器提示，或打開惡意文檔，攻擊就可以成功?！?/p>

SonicWall在今年早些時候已經(jīng)在NetExtender Windows（32位和64位）10.2.341及更高版本中修補(bǔ)了這個漏洞，并敦促用戶升級。

AmberWolf建議：“如果立即升級不可行，考慮使用客戶端防火墻限制對已知合法VPN端點的訪問，以防止用戶無意中連接到惡意服務(wù)器?！?/p>

VPN在許多場景下被視為不可或缺的工具，它提供了加密通道，使得用戶可以在公共網(wǎng)絡(luò)上安全地傳輸數(shù)據(jù)，同時也能繞過地理限制訪問被封鎖的內(nèi)容。例如對于需要遠(yuǎn)程工作的員工，VPN提供了安全訪問公司內(nèi)部網(wǎng)絡(luò)的能力，確保了數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾浴?但不可否認(rèn)的是，VPN的存在也給企業(yè)帶來了更多的攻擊面，并且成為黑客攻擊的跳板。

參考來源：https://www.helpnetsecurity.com/2024/11/26/vulnerabilities-corporate-vpn-clients-cve-2024-5921-cve-2024-29014/