研究人員發現了Palo Alto Networks（CVE-2024-5921）和SonicWall（CVE-2024-29014）企業VPN客戶端更新過程中的漏洞，這些漏洞可能被利用來遠程執行代碼。

CVE-2024-5921

CVE-2024-5921影響Palo Alto的GlobalProtect App在Windows、macOS和Linux上的多個版本，起因是認證驗證不足。

該公司確認，這使得攻擊者能夠將GlobalProtect應用連接到任意服務器，并且指出這可能導致攻擊者在終端安裝惡意根證書，隨后安裝由這些證書簽名的惡意軟件。

AmberWolf研究人員Richard Warren和David Cash解釋說：“GlobalProtect VPN客戶端的Windows和macOS版本都容易受到遠程代碼執行（RCE）和權限提升的影響，這是通過自動更新機制實現的。雖然更新過程要求MSI文件必須簽名，但攻擊者可以利用PanGPS服務安裝一個惡意信任的根證書，從而實現RCE和權限提升。更新執行時具有服務組件的權限級別（Windows上的SYSTEM和macOS上的root）。”

“默認情況下，用戶可以在VPN客戶端的用戶界面組件（PanGPA）中指定任意端點。這種行為可以被利用于社交工程攻擊中，攻擊者誘騙用戶連接到惡意VPN服務器。這些服務器可以捕獲登錄憑證，并通過惡意客戶端更新破壞系統。”

Palo Alto表示：“這個問題在GlobalProtect應用6.2.6及所有后續的6.2版本中已修復。”該公司還引入了一個額外的配置參數（FULLCHAINCERTVERIFY），應該啟用以加強對系統信任證書庫的證書驗證。

根據PAN的安全咨詢，目前還沒有針對macOS或Linux版本的應用的修復。

不過，有一個權宜之計/緩解措施，即在端點上為GlobalProtect應用啟用FIPS-CC模式（并在GlobalProtect門戶/網關上啟用FIPS-CC模式）。

AmberWolf研究人員表示，還可以實施基于主機的防火墻規則，以防止用戶連接到惡意VPN服務器。

CVE-2024-29014

CVE-2024-29014影響SonicWall的NetExtender VPN客戶端在Windows版本10.2.339及更早版本，當處理端點控制（EPC）客戶端更新時，允許攻擊者以SYSTEM權限執行代碼。該漏洞源于簽名驗證不足。

有幾種利用場景可能導致這種情況。例如，用戶可能被誘騙將他們的NetExtender客戶端連接到惡意VPN服務器，并安裝假冒的（惡意的）EPC客戶端更新。

AmberWolf研究人員解釋了另一種方法：“當安裝了SMA Connect代理時，攻擊者可以利用自定義URI處理程序強制NetExtender客戶端連接到他們的服務器。用戶只需要訪問惡意網站并接受瀏覽器提示，或打開惡意文檔，攻擊就可以成功。”

SonicWall在今年早些時候已經在NetExtender Windows（32位和64位）10.2.341及更高版本中修補了這個漏洞，并敦促用戶升級。

AmberWolf建議：“如果立即升級不可行，考慮使用客戶端防火墻限制對已知合法VPN端點的訪問，以防止用戶無意中連接到惡意服務器。”

VPN在許多場景下被視為不可或缺的工具，它提供了加密通道，使得用戶可以在公共網絡上安全地傳輸數據，同時也能繞過地理限制訪問被封鎖的內容。例如對于需要遠程工作的員工，VPN提供了安全訪問公司內部網絡的能力，確保了數據傳輸的保密性和完整性。 但不可否認的是，VPN的存在也給企業帶來了更多的攻擊面，并且成為黑客攻擊的跳板。

參考來源：https://www.helpnetsecurity.com/2024/11/26/vulnerabilities-corporate-vpn-clients-cve-2024-5921-cve-2024-29014/