مجموعهای از آسیبپذیریها تحت عنوان «NachoVPN»، به سرورهای VPN مخرب اجازه میدهد زمانی که کلاینتهای Palo Alto و SonicWall SSL-VPN وصلهنشده به آنها متصل میشوند، بهروزرسانیهای مخرب نصب کنند.
محققان امنیتی AmberWolf دریافتند که نفوذگران میتوانند اهداف بالقوه را فریب دهند تا کلاینتهای SonicWall NetExtender و Palo Alto Networks GlobalProtect VPN را به سرورهای VPN کنترلشده توسط مهاجم با استفاده از وبسایتها یا اسناد مخرب در مهندسی اجتماعی یا حملات فیشینگ متصل کنند.
عوامل تهدید میتوانند از نقاط پایانی VPN مخرب جهت سرقت اطلاعات ورود قربانیان، اجرای کد دلخواه با سطح دسترسی بالا، نصب نرمافزارهای مخرب از طریق بهروزرسانیها و راهاندازی جعل امضای کد یا حملات Man-in-the-Middle با نصب گواهیهای root مخرب استفاده کنند.
گفتنی است که SonicWall وصلههایی را برای رفع آسیبپذیری NetExtender با شناسه CVE-2024-29014 در ماه ژوئیه منتشر کرده است و Palo Alto Networks نیز به تازگی بهروزرسانیهای امنیتی را برای نقص GlobalProtect با شناسه CVE-2024-5921 منتشر کرده است.
https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/
