fitpro

一组被称为“NachoVPN”的漏洞允许流氓 VPN 服务器在未修补的 Palo Alto 和 SonicWall SSL-VPN 客户端连接到它们时安装恶意更新。

安全研究人员发现，威胁者可以利用社交工程或网络钓鱼攻击中的恶意网站或文档，诱骗潜在目标将其 SonicWall NetExtender 和 Palo Alto Networks GlobalProtect VPN 客户端连接到攻击者控制的 VPN 服务器。

威胁者可以使用恶意 VPN 端点窃取受害者的登录凭据、以提升的权限执行任意代码、通过更新安装恶意软件fitpro，以及通过安装恶意根证书发起代码签名伪造或中间人攻击。

SonicWall 在 7 月份发布了补丁来解决 CVE-2024-29014 NetExtender 漏洞，距 5 月份初次报告两个月后，Palo Alto Networks 本周发布了针对 CVE-2024-5921 GlobalProtect 漏洞的安全更新。

虽然 SonicWall 表示客户必须安装 NetExtender Windows 10.2.341 或更高版本来修补安全漏洞，但 Palo Alto Networks 表示，除了安装 GlobalProtect 6.2.6 或更高版本之外，在 FIPS-CC 模式下运行 VPN 客户端还可以减轻潜在的攻击（其中修复了该漏洞）。

上周，AmberWolf 披露了有关这两个漏洞的更多详细信息，并发布了一个名为 NachoVPN 的开源工具，该工具模拟可以利用这些漏洞的流氓 VPN 服务器。

经证实，该工具与平台无关，能够识别不同的 VPN 客户端，并根据连接到它的特定客户端调整其响应。它也是可扩展的，建议在发现新漏洞时添加它们。

AmberWolf 还在该工具的 GitHub 页面上表示，它目前支持各种流行的企业 VPN 产品，例如 Cisco AnyConnect、SonicWall NetExtender、Palo Alto GlobalProtect 和 Ivanti Connect Secure。

参考及来源：https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/fitpro