حمله جدید NachoVPN و به کارگیری سرورهای VPN آلوده برای نصب به روزرسانی‌های مخرب

security news

مجموعه‌ای از آسیب‌پذیری‌ها تحت عنوان «NachoVPN»، به سرورهای VPN مخرب اجازه می‌دهد زمانی که کلاینت‌های Palo Alto و SonicWall SSL-VPN وصله‌نشده به آن‌ها متصل می‌شوند، به‌روزرسانی‌های مخرب نصب کنند.

محققان امنیتی AmberWolf دریافتند که نفوذگران می‌توانند اهداف بالقوه را فریب دهند تا کلاینت‌های SonicWall NetExtender و Palo Alto Networks GlobalProtect VPN را به سرورهای VPN کنترل‌شده توسط مهاجم با استفاده از وب‌سایت‌ها یا اسناد مخرب در مهندسی اجتماعی یا حملات فیشینگ متصل کنند.

عوامل تهدید می‌توانند از نقاط پایانی VPN مخرب جهت سرقت اطلاعات ورود قربانیان، اجرای کد دلخواه با سطح دسترسی بالا، نصب نرم‌افزارهای مخرب از طریق به‌روزرسانی‌ها و راه‌اندازی جعل امضای کد یا حملات Man-in-the-Middle با نصب گواهی‌های root مخرب استفاده کنند.

گفتنی است که SonicWall وصله‌هایی را برای رفع آسیب‌پذیری NetExtender با شناسه CVE-2024-29014 در ماه ژوئیه منتشر کرده است و Palo Alto Networks نیز به تازگی به‌روزرسانی‌های امنیتی را برای نقص GlobalProtect با شناسه CVE-2024-5921 منتشر کرده است.

https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/
https://thehackernews.com/2024/12/nachovpn-tool-exploits-flaws-in-popular.html