Onderzoekers op het gebied van cybersecurityCybersecurity-oplossingen zijn essentieel in het huidige di… hebben ernstige gebreken onthuld in het updateproces van de zakelijke VPNEen VPN, een afkorting voor Virtual Private Network, of Virt…-clients van Palo Alto Networks GlobalProtect en SonicWall NetExtender, wat aanvallers in staat zou kunnen stellen om op afstand code uit te voeren op apparaten van gebruikers. Deze kwetsbaarheden, geïdentificeerd als CVE-2024-5921 en CVE-2024-29014, stellen bedrijven bloot aan aanzienlijke risico’s in de zakelijke omgevingen.
Details van de kwetsbaarheden
De kwetsbaarheid CVE-2024-5921 beïnvloedt de versies van GlobalProtect op Windows, macOS en Linux-systemen. Volgens onderzoekers van AmberWolf, maakt de fout het mogelijk voor een aanvaller om de GlobalProtect-applicatie te verbinden met willekeurige servers, waardoor de installatie van kwaadaardige root-certificaten en daarmee frauduleus ondertekende software mogelijk wordt. Op Windows- en macOS-systemen kunnen aanvallers gebruikmaken van het automatische update-mechanisme om op afstand code uit te voeren en privileges te escaleren.
In het geval van CVE-2024-29014, die invloed heeft op SonicWall NetExtender in versies voor 10.2.341 voor Windows, kunnen aanvallers code uitvoeren met SYSTEM-privileges tijdens een clientupdate. Een gebruiker zou misleid kunnen worden om verbinding te maken met een kwaadaardige VPN-server, van waaruit een frauduleuze update van de Endpoint Control (EPC)-client zou worden geïnstalleerd.
Oplossingen en mitigerende maatregelen
Palo Alto Networks heeft een update voor GlobalProtect uitgebracht (versie 6.2.6 en hoger op Windows), die extra configuratieparameters introduceert om de validatie van certificaten te verbeteren. De versies voor macOS en Linux hebben nog geen beschikbare patch. Als mitigerende maatregel raadt het bedrijf aan om de FIPS-CC-modus in te schakelen op de getroffen apparaten.
SonicWall heeft daarentegen de kwetsbaarheid verholpen in NetExtender met versie 10.2.341 voor Windows en latere versies. Verder bevelen experts aan om firewallregels te implementeren om de toegang tot bekende en legitieme VPN-servers te beperken en zo het risico te verkleinen dat gebruikers verbinding maken met kwaadaardige servers.
Testtools en context
Om de kwetsbaarheden te demonstreren, hebben onderzoekers de open-source tool NachoVPN ontwikkeld, die kwaadaardige VPN-servers simuleert die in staat zijn om deze fouten te misbruiken. Volgens AmberWolf onderstrepen deze ontdekkingen de inherente risico’s van het gebruik van VPN-clients met hoge privileges in besturingssystemen, wat het belang van het versterken van hun beveiliging benadrukt.
Risico voor bedrijven
VPN-clients zijn essentieel voor veilige remote toegang, maar deze kwetsbaarheden laten zien dat ze, indien niet goed beschermd, een significant aanvalskanaal kunnen worden. Bedrijven die afhankelijk zijn van deze tools voor hun operaties moeten updates prioriteren en het implementeren van directe mitigerende maatregelen overwegen.
Deze ontdekking benadrukt de noodzaak van een proactieve aanpak in cybersecurity, zeker in de huidige context waarin aanvallen op kritieke infrastructuur en zakelijke omgevingen toenemen. Palo Alto Networks en SonicWall hebben hun gebruikers aangespoord om de getroffen systemen bij te werken en de beste veiligheidspraktijken te volgen om risico’s te minimaliseren.
Referenties: OpenSecurity, Palo Alto, HelpNetSecurity en NachoVPN.