'NachoVPN'이라는 취약점들이 발견되었는데, 이를 통해 악의적인 VPN 서버가 패치되지 않은 Palo Alto와 SonicWall SSL-VPN 클라이언트에 악성 업데이트를 설치할 수 있다고 AmberWolf 보안 연구원들이 밝혔습니다. 공격자들은 소셜 엔지니어링이나 피싱 공격을 통해 SonicWall NetExtender와 Palo Alto Networks GlobalProtect VPN 클라이언트를 악성 VPN 서버에 연결하도록 유도할 수 있습니다. 이를 통해 공격자들은 피해자의 로그인 정보를 훔치거나, 권한이 높은 임의의 코드를 실행하고, 악성 소프트웨어를 업데이트를 통해 설치하거나, 악성 루트 인증서를 설치하여 코드 서명 위조나 중간자 공격을 실행할 수 있습니다.
SonicWall은 7월에 CVE-2024-29014 NetExtender 취약점을 해결하기 위해 패치를 발표했고, Palo Alto Networks는 오늘 CVE-2024-5921 GlobalProtect 결함에 대한 보안 업데이트를 발표했습니다. SonicWall은 고객들이 보안 결함을 패치하기 위해 NetExtender Windows 10.2.341 이상의 버전을 설치해야 한다고 말했고, Palo Alto Networks는 VPN 클라이언트를 FIPS-CC 모드에서 실행하면 공격을 완화할 수 있으며, GlobalProtect 6.2.6 이상을 설치하면 취약점이 수정된다고 말했습니다.
화요일에 AmberWolf는 이 두 가지 취약점에 대한 추가적인 세부 정보를 공개하고, 이 취약점들을 이용할 수 있는 악성 VPN 서버를 시뮬레이션하는 오픈소스 도구인 'NachoVPN'을 공개했습니다. 이 도구는 플랫폼에 구애받지 않으며, 다양한 VPN 클라이언트를 식별하고 특정 클라이언트에 연결하는 것에 따라 응답을 조정할 수 있습니다. 또한, 새로 발견된 취약점을 추가하는 것을 장려하며, 현재 Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect, Ivanti Connect Secure 등 다양한 기업용 VPN 제품을 지원합니다.
요약
- 'NachoVPN'이라는 취약점들이 발견되어, 악의적인 VPN 서버가 패치되지 않은 Palo Alto와 SonicWall SSL-VPN 클라이언트에 악성 업데이트를 설치할 수 있다.
- SonicWall과 Palo Alto Networks는 각각의 취약점을 해결하기 위한 패치를 발표하였다.
- AmberWolf는 이 취약점들을 이용할 수 있는 악성 VPN 서버를 시뮬레이션하는 오픈소스 도구인 'NachoVPN'을 공개하였다.
- 'NachoVPN'은 플랫폼에 구애받지 않으며, 다양한 VPN 클라이언트를 식별하고 특정 클라이언트에 연결하는 것에 따라 응답을 조정할 수 있다.
- 'NachoVPN'은 현재 Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect, Ivanti Connect Secure 등 다양한 기업용 VPN 제품을 지원한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.