“NachoVPN” การโจมตีรูปแบบใหม่ที่ใช้เซิร์ฟเวอร์ VPN ปลอมเพื่อหลอกติดตั้งการอัปเดตที่เป็นอันตราย

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้

นักวิจัยด้านความปลอดภัยของ AmberWolf พบว่า ผู้โจมตีสามารถหลอกให้เป้าหมายเชื่อมต่อกับไคลเอนต์ SonicWall NetExtender และ Palo Alto Networks GlobalProtect VPN ไปยังเซิร์ฟเวอร์ VPN ที่ถูกควบคุมโดยผู้โจมตีได้ โดยใช้เว็บไซต์ปลอม หรือเอกสารที่เป็นอันตราย ผ่านการโจมตีด้วยวิธี Social Engineering หรือ Phishing

ผู้โจมตีสามารถใช้ rogue VPN ที่เป็นอันตรายเพื่อขโมยข้อมูลการเข้าสู่ระบบของเป้าหมาย โดยจะมีการรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูง และติดตั้งซอฟต์แวร์ที่เป็นอันตรายผ่านการอัปเดต รวมถึงทำการปลอมแปลง code-signing หรือทำการโจมตีแบบ Man-in-the-Middle ด้วยการติดตั้ง root certificates ที่เป็นอันตราย

SonicWall ได้ออกแพตช์แก้ไขช่องโหว่ CVE-2024-29014 ใน NetExtender เมื่อเดือนกรกฎาคม 2024 ซึ่งเป็นเวลาสองเดือนหลังจากมีรายงานช่องโหว่ครั้งแรกในเดือนพฤษภาคม และ Palo Alto Networks ได้ออกอัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2024-5921 ใน GlobalProtect ในวันนี้ (27 พฤศจิกายน 2024) โดยใช้เวลาถึงเจ็ดเดือนหลังจากได้รับแจ้งเกี่ยวกับช่องโหว่ในเดือนเมษายน และเกือบหนึ่งเดือนหลังจากที่ AmberWolf เปิดเผยรายละเอียดช่องโหว่ในงาน SANS HackFest Hollywood

SonicWall ระบุว่า ลูกค้าจำเป็นต้องติดตั้ง NetExtender Windows เวอร์ชัน 10.2.341 หรือเวอร์ชันที่ใหม่กว่าเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ขณะที่ Palo Alto Networks แนะนำว่านอกจากการติดตั้ง GlobalProtect 6.2.6 หรือเวอร์ชันที่ใหม่กว่า (ซึ่งแก้ไขช่องโหว่แล้ว) การใช้งานไคลเอนต์ VPN ในโหมด FIPS-CC ยังช่วยลดความเสี่ยงจากการถูกโจมตีได้อีกด้วย

เมื่อวันอังคารที่ผ่านมา (26 พฤศจิกายน 2024) AmberWolf ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ทั้งสองรายการ และเปิดตัวเครื่องมือโอเพ่นซอร์สที่มีชื่อว่า NachoVPN ซึ่งจำลองการทำงานของเซิร์ฟเวอร์ VPN ที่เป็นอันตรายที่สามารถโจมตีช่องโหว่เหล่านี้ได้

AmberWolf ระบุว่า "เครื่องมือนี้ไม่จำกัดแพลตฟอร์ม สามารถตรวจจับไคลเอนต์ VPN ต่าง ๆ และปรับการตอบสนองให้เหมาะสมกับไคลเอนต์ที่ทำการเชื่อมต่อ นอกจากนี้ยังสามารถขยายฟังก์ชันได้ โดยส่งเสริมให้ community มีส่วนร่วมในการแจ้งช่องโหว่ใหม่ ๆ ที่ค้นพบเข้ามา"

บริษัทระบุเพิ่มเติมในหน้า GitHub ของเครื่องมือว่า "ปัจจุบันเครื่องมือนี้รองรับผลิตภัณฑ์ VPN สำหรับองค์กรยอดนิยมหลายตัว เช่น Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect และ Ivanti Connect Secure"

AmberWolf ยังได้เผยแพร่คำแนะนำด้านเทคนิคเพิ่มเติมเกี่ยวกับช่องโหว่ใน SonicWall NetExtender และ Palo Alto Networks GlobalProtect รวมถึงรายละเอียดเกี่ยวกับวิธีการโจมตี และคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบปกป้องเครือข่ายจากการโจมตีที่อาจเกิดขึ้นได้

ที่มา : bleepingcomputer