New VPN Attack Demonstrated Against Palo Alto Networks, SonicWall Products
2024/11/27 SecurityWeek — 各種の企業において用いられる VPN クライアントを、攻撃するための新たな手口の詳細が、サイバー・ソリューション・プロバイダー AmberWolf の研究者たちにより公開された。セキュアなリモート・アクセスのために多用される VPN だが、それにより生じる攻撃対象領域は無視できないと、AmberWolf の研究者たちは示唆している。
このような状況を実証するために、彼らは NachoVPN という OSS ツールを公開した。具体的に言うと、先日に修正された Palo Alto Networks および SonicWall VPN の脆弱性を悪用する攻撃や、以前からの存在する Cisco AnyConnect および Ivanti Connect Secure の欠陥を突く攻撃を実証するものである。このツールは、プラグイン・ベースのアーキテクチャを採用しているため、他の VPN 製品の検証でも利用できる。
この攻撃の方式は、VPN のクライアント/サーバ間の信頼関係を利用するものであり、Windows/macOS 環境で機能する。つまり NachoVPN は、接続する VPN クライアントの脆弱性を悪用する、不正な VPN サーバをシミュレートするように設計されている。
Palo Alto Networks:CVE-2024-5921
Palo Alto Networks の GlobalProtect VPN クライアントのケースでは、自動更新メカニズムを標的にする攻撃者が、悪意のルート証明書をインストールし、リモート・コード実行と権限昇格を実現する方法が示される。
この種の攻撃では、標的ユーザーを騙すことで、不正な VPN サーバへと接続させる必要があるが、ソーシャル・エンジニアリングにより実現できると、AmberWolf は指摘している。
この脆弱性 CVE-2024-5921 について Palo Alto Networks は、 Windows/macOS/Linux 用の GlobalProtect アプリにおける証明書検証不足の問題であり、深刻度は Medium レベルだと説明している。
2024年同11月26日に、Palo Alto はアドバイザリを公開し、このセキュリティ・ホールのパッチを提供した。偶然にも同日に、AmberWolf の研究者たちも、彼らの調査結果を詳述するブログ記事を公開している。
Palo Alto Networks が指摘するのは、この欠陥を悪用において攻撃者は、オペレーティング・システムへのローカル非管理者アクセス権の取得、もしくは、被害者と同じサブネット上への侵入が必要だというものだ。
この問題は、Windows 版 GlobalProtect 6.2.6 で修正され。緩和策も利用可能となっている。Palo Alto は、悪用について認識していないと述べているが、PoC (NachoVPN) の公開についても言及している。
SonicWall 製品のケースにおいて、AmberWolf の研究者が発見したのは、Windows 版 SMA100 NetExtender VPN クライアントに対して、この攻撃が機能することである。
この、SonicWall の脆弱性を CVE-2024-29014 は、深刻度 High と評価されている。
2024年 7 月中旬の時点で、SonicWall はパッチをリリースしているが、SonicOS を実行しているファイアウォールは影響を受けず、また、NetExtender Linux クライアントも影響を受けないことを指摘している。
AmberWolf によると、この SonicWall の脆弱性により、システム権限でのリモート・コード実行が可能になるという。この脆弱性を悪用する攻撃者は、標的のユーザーを騙して悪意の Web サイトにアクセスさせ、ブラウザ・プロンプトを受け入れさせるだけで、目的を達成するという。
この記事では、Palo Alto の CVE-2024-5921 と、SonicWall の CVE-2024-29014 が対象となっていますが、プラグイン・ベースのアーキテクチャが採用され、他の VPN 製品の検証でも利用できるとのことです。この NachoVPN を提供する AmberWolf の自己紹介は、「今日の脅威アクターが使用する、技術と戦術に関する重要な洞察を提供することで、企業を支援する。当社の洞察により、あらゆるレベルにおける情報を把握し、防御策や最悪の事態に効率的に備える方法について、より適切な判断を下すことが可能にある。当社は、攻撃的なセキュリティと攻撃シミュレーションの、計画と利用方法を変革しようとしています。それは、単なる説明と検証ではない。敵対的能力を防御的な技術を提供することで、運用の回復力を高める」と記されています。よろしければ、カテゴリ SecTools を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.