Investigadores de ciberseguridad han revelado fallos graves en el proceso de actualización de los clientes VPN corporativos de Palo Alto Networks GlobalProtect y SonicWall NetExtender, lo que podría permitir a atacantes ejecutar código de forma remota en los dispositivos de los usuarios. Estas vulnerabilidades, identificadas como CVE-2024-5921 y CVE-2024-29014, exponen a empresas a riesgos significativos en entornos corporativos.
Detalles de las vulnerabilidades
La vulnerabilidad CVE-2024-5921 afecta a las versiones de GlobalProtect en sistemas Windows, macOS y Linux. Según los investigadores de AmberWolf, el fallo permite que un atacante conecte la aplicación GlobalProtect a servidores arbitrarios, posibilitando la instalación de certificados raíz maliciosos y, con ellos, software firmado de forma fraudulenta. En sistemas Windows y macOS, los atacantes podrían ejecutar código remoto y escalar privilegios aprovechando el mecanismo de actualización automática.
En el caso de CVE-2024-29014, que afecta a SonicWall NetExtender en versiones previas a 10.2.341 para Windows, los atacantes pueden ejecutar código con privilegios de SYSTEM durante una actualización del cliente. Un usuario podría ser engañado para conectarse a un servidor VPN malicioso, desde donde se instalaría una actualización fraudulenta del cliente Endpoint Control (EPC).
Soluciones y mitigaciones
Palo Alto Networks ha lanzado una actualización para GlobalProtect (versión 6.2.6 y superiores en Windows), que introduce parámetros de configuración adicionales para mejorar la validación de certificados. Sin embargo, las versiones de macOS y Linux todavía no cuentan con un parche disponible. Como medida de mitigación, la compañía recomienda habilitar el modo FIPS-CC en los dispositivos afectados.
Por su parte, SonicWall ha corregido la vulnerabilidad en NetExtender con la versión 10.2.341 para Windows y posteriores. Además, los expertos sugieren implementar reglas de firewall para restringir el acceso a servidores VPN conocidos y legítimos, reduciendo el riesgo de que los usuarios se conecten a servidores maliciosos.
Herramientas de prueba y contexto
Para demostrar las vulnerabilidades, los investigadores han desarrollado NachoVPN, una herramienta de código abierto que simula servidores VPN maliciosos capaces de explotar estos fallos. Según AmberWolf, estos descubrimientos destacan los riesgos inherentes al uso de clientes VPN con altos privilegios en los sistemas operativos, subrayando la importancia de reforzar su seguridad.
Riesgo para las empresas
Los clientes VPN son esenciales para el acceso remoto seguro, pero estas vulnerabilidades evidencian que, si no están debidamente protegidos, pueden convertirse en un vector de ataque significativo. Empresas que dependen de estas herramientas para sus operaciones deben priorizar las actualizaciones y considerar la implementación de medidas de mitigación inmediatas.
Este descubrimiento resalta la necesidad de un enfoque proactivo en ciberseguridad, especialmente en el contexto actual donde los ataques a infraestructura crítica y empresarial están en aumento. Palo Alto Networks y SonicWall han instado a sus usuarios a actualizar los sistemas afectados y a seguir las mejores prácticas de seguridad para minimizar los riesgos.
Referencias: OpenSecurity, Palo Alto, HelpNetSecurity y NachoVPN.
