- Des chercheurs d'AmberWolf découvrent deux failles dans des produits VPN populaires
- Les failles peuvent être exploitées pour permettre aux VPN de se connecter à des serveurs malveillants
- Les serveurs peuvent utiliser la connexion pour voler les identifiants de connexion, diffuser des logiciels malveillants, etc
Des chercheurs en cybersécurité alertent sur une menace liée à l'utilisation de serveurs VPN compromis pour voler des informations sensibles aux clients VPN connectés.
Au début de l'année, les experts en cybersécurité d'AmberWolf ont découvert que des cybercriminels piégeaient les utilisateurs des clients VPN SonicWall NetExtender et Palo Alto Networks GlobalProtect. Ces derniers étaient incités à se connecter à des serveurs VPN sous le contrôle des attaquants.
Ces attaques reposaient sur des sites web malveillants ou des documents utilisés dans des campagnes de phishing et d'ingénierie sociale.
Résolution du problème
En raison de la vulnérabilité des clients VPN concernés, incapables de vérifier correctement l'authenticité ou la légitimité des serveurs VPN, les attaquants se faisaient passer pour des serveurs fiables. Cela leur permettait de mener plusieurs actions malveillantes, notamment le vol des identifiants de connexion, l’exécution de code arbitraire avec des privilèges élevés, l’installation de logiciels malveillants via des mises à jour logicielles, et bien d'autres.
AmberWolf a nommé ces vulnérabilités "NachoVPN" et en a informé les organisations concernées.
Du côté de SonicWall, la faille a été répertoriée sous le code CVE-2024-29014 et corrigée en juillet 2024. Pour Palo Alto Networks, la vulnérabilité CVE-2024-5921 a été traitée en novembre 2024. La première version sécurisée de NetExtender pour Windows est la 10.2.341. Concernant Palo Alto, il est recommandé d'installer GlobalProtect 6.2.6 ou de faire fonctionner le client VPN en mode FIPS-CC.
En plus d’informer SonicWall et Palo Alto Networks, AmberWolf a mis à disposition un outil open-source, également appelé NachoVPN, qui permet de simuler l’attaque. Cette information a été relayée par BleepingComputer.
« Cet outil est agnostique en termes de plateforme, capable d’identifier différents clients VPN et d’adapter sa réponse en fonction du client spécifique qui s’y connecte. Il est également extensible, encourageant les contributions de la communauté et l’ajout de nouvelles vulnérabilités au fur et à mesure de leur découverte », précise AmberWolf.
« Il prend actuellement en charge plusieurs produits VPN populaires pour les entreprises, tels que Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect, et Ivanti Connect Secure », conclut la société dans son annonce.
Via BleepingComputer
Pour plus de sécurité
- Meilleurs VPN : quels sont les services les plus fiables en 2024 ?
- Les VPN les plus rapides en 2024
- VPN avec un essai gratuit : les meilleures options pour tester avant d’acheter en 2024
