Cảnh báo Về Lỗ Hổng Bảo Mật VPN Trong Palo Alto Networks và SonicWall

Ngày đăng 6/12/2024 10:57|   Số lượt xem 675
Nguồn: (Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia)
Các nhà nghiên cứu từ AmberWolf đã công bố một phương pháp tấn công mới nhắm vào các VPN doanh nghiệp phổ biến, bao gồm Palo Alto Networks GlobalProtect và SonicWall SMA100 NetExtender. Các lỗ hổng này cho phép thực thi mã từ xa (RCE) và leo thang đặc quyền, gây ra nguy cơ nghiêm trọng đối với tổ chức chưa cập nhật bản vá.

Các nhà nghiên cứu từ AmberWolf đã công bố một phương pháp tấn công mới nhắm vào các VPN doanh nghiệp phổ biến, bao gồm Palo Alto Networks GlobalProtect và SonicWall SMA100 NetExtender. Các lỗ hổng này cho phép thực thi mã từ xa (RCE) và leo thang đặc quyền, gây ra nguy cơ nghiêm trọng đối với tổ chức chưa cập nhật bản vá.

Tổng Quan Về Lỗ Hổng

  1. Palo Alto Networks GlobalProtect (CVE-2024-5921):

    • Mô tả: Lỗi xác thực chứng chỉ không đầy đủ.
    • Hệ quả: Cho phép kẻ tấn công lợi dụng cơ chế cập nhật tự động để cài chứng chỉ gốc độc hại, từ đó thực thi mã và leo thang đặc quyền.
    • Điều kiện tấn công: Cần dụ người dùng kết nối tới máy chủ VPN giả mạo, thường thông qua kỹ thuật lừa đảo.

  2. SonicWall SMA100 NetExtender (CVE-2024-29014):

    • Mô tả: Lỗ hổng cho phép thực thi mã với quyền System trên Windows thông qua trình duyệt.
    • Hệ quả: Tấn công chỉ cần người dùng truy cập trang web độc hại và chấp nhận thông báo trên trình duyệt.
    • Phạm vi ảnh hưởng:

Lỗ hổng CVE-2024-29014 chỉ ảnh hưởng đến các hệ thống Windows sử dụng SonicWall SMA100 NetExtender. Cụ thể:

  • Hệ điều hành bị ảnh hưởng: Windows 10, 11 và các phiên bản Windows Server có cài đặt NetExtender.
  • Các phiên bản NetExtender bị ảnh hưởng: Các phiên bản từ 10.2.340 trở về trước.
  • Không ảnh hưởng đến:
    • Các máy chạy hệ điều hành Linux hoặc macOS, vì NetExtender trên các nền tảng này sử dụng cơ chế khác không bị ảnh hưởng bởi lỗ hổng.
    • SonicOS, hệ điều hành nhúng trên các thiết bị firewall của SonicWall, không bị lỗ hổng này tác động.

Lưu ý: Lỗ hổng này khai thác trình điều khiển lỗi thời trong NetExtender trên Windows, do đó chỉ cần một lần truy cập vào trang web độc hại là mã độc có thể thực thi với quyền SYSTEM, mức độ cao nhất trên Windows.

Công Cụ Tấn Công

AmberWolf đã phát hành NachoVPN, một công cụ mã nguồn mở mô phỏng máy chủ VPN giả mạo nhằm khai thác các lỗ hổng này.

  • Khả năng:
    • Hoạt động trên Windows, macOS.
    • Hỗ trợ nhiều sản phẩm VPN như Cisco AnyConnect, Ivanti Connect Secure, bên cạnh GlobalProtect và NetExtender.
    • Cho phép mở rộng thêm plugin để nhắm vào các VPN khác.

Cách Khai Thác

  1. Quy trình:

    • Kẻ tấn công tạo một máy chủ VPN giả mạo và dụ nạn nhân kết nối.
    • Sử dụng NachoVPN, máy chủ giả khai thác lỗ hổng của client để:
      • Đánh cắp thông tin đăng nhập.
      • Cài phần mềm độc hại thông qua cơ chế cập nhật.
      • Cài đặt chứng chỉ gốc độc hại để thực hiện các cuộc tấn công MITM.

  2. Phương pháp lừa đảo:

    • Gửi email chứa liên kết đến máy chủ VPN giả.
    • Tạo các tài liệu hoặc trang web dẫn dụ nạn nhân.

Khuyến nghị

  1. Palo Alto Networks GlobalProtect:

    • Cập nhật ngay: Sử dụng phiên bản GlobalProtect 6.2.6 hoặc mới hơn.
    • Giải pháp tạm thời: Kích hoạt chế độ FIPS-CC để giảm thiểu rủi ro.

  2. SonicWall SMA100 NetExtender:

    • Cập nhật ngay: Sử dụng phiên bản 10.2.341 hoặc cao hơn.
    • Lưu ý: Đảm bảo firewall SonicOS được cấu hình đúng cách.

Tham khảo