企業 VPN 更新機制遭攻破，研究人員揭露權限提升攻擊鏈

資安研究人員近期披露了影響企業級 VPN 解決方案的重大安全漏洞，涉及 Palo Alto Networks 和 SonicWall 兩家廠商的用戶端軟體。這些漏洞主要存在於更新機制中，攻擊者可藉此在受害者系統上獲取最高權限，對企業資安造成嚴重威脅。

Palo Alto Networks GlobalProtect 漏洞剖析

研究人員在 GlobalProtect 中發現的 CVE-2024-5921 漏洞，其核心問題出在憑證驗證鏈的設計缺陷上。GlobalProtect 的更新程序在處理憑證時未能執行完整的驗證鏈檢查，同時 PanGPS 服務在處理更新請求時也未能嚴格驗證更新來源的合法性。更危險的是，用戶端介面 PanGPA 允許使用者連接至任意 VPN 端點，且缺乏必要的安全檢查機制。

攻擊者可利用這些漏洞建構一個完整的攻擊鏈。首先，攻擊者會架設一個惡意的 VPN 伺服器，並透過社交工程手法誘使目標使用者連接。一旦使用者連接到惡意伺服器，攻擊者就能夠獲取使用者的登入憑證。接著，攻擊者可以利用 PanGPS 服務的漏洞在系統中植入惡意根憑證。當該憑證被系統信任後，攻擊者就能夠簽署惡意的更新套件，而這些套件將以系統最高權限執行，在 Windows 系統上是 SYSTEM 權限，在 macOS 上則是 root 權限。

為了緩解這個漏洞帶來的風險，系統管理員可以採取幾項技術措施。首先是強制啟用完整鏈憑證驗證，這可以通過設定 FULLCHAINCERTVERIFY 參數來實現。其次是實施嚴格的防火牆規則，限制 VPN 用戶端只能連接到授權的伺服器。此外，啟用 FIPS-CC 模式也能提供額外的安全保護。

SonicWall NetExtender漏洞解析

SonicWall NetExtender 中發現的 CVE-2024-29014 漏洞同樣涉及更新機制的問題。該漏洞存在於終端點控制（EPC）用戶端的更新過程中，由於更新套件的簽章驗證不完整，加上特權服務在處理更新時缺乏額外的安全檢查，使得攻擊者有機可趁。

特別值得注意的是 NetExtender 的自定義 URI 處理機制可能被攻擊者濫用。攻擊者可以通過構造特製的 URI（例如 smaconnect://connect?server=攻擊者伺服器&user=受害者）來強制 NetExtender 用戶端連接到惡意伺服器。一旦建立連接，攻擊者就能夠提供惡意的 EPC 更新套件，這些套件將以 SYSTEM 權限執行，從而獲取系統的完整控制權。

偵測與防護工具發布

為了協助企業評估其 VPN 基礎設施的安全性，研究人員發布了名為 NachoVPN 的開源工具。這個工具能夠模擬各種攻擊場景，包括偽造 VPN 伺服器憑證、複製合法更新伺服器的行為，以及生成測試用的更新套件。NachoVPN 不僅能夠進行漏洞驗證，還能夠測試各種防護措施的有效性，包括防火牆規則、系統加固配置等。

企業防護策略

面對這些嚴重的安全漏洞，企業需要採取全面的防護策略。首要任務是進行系統更新，將 GlobalProtect 升級至 6.2.6 或更新版本，將 NetExtender 更新至 10.2.341 或更新版本。同時，企業應該加強整體網路架構的安全性，實施零信任網路架構，部署進階的端點防護解決方案，並建立完善的 VPN 存取審計機制。

在日常運營中，企業還需要持續監控特權程序的行為，追蹤任何異常的更新要求，並確保有效的事件應變程序。資安專家強調，這些漏洞的發現凸顯了企業 VPN 解決方案中更新機制的安全問題，建議企業定期進行滲透測試，確保更新機制的安全性。唯有採取主動的安全態勢，才能有效防範此類高危漏洞帶來的威脅。

本文轉載自helpnetsecurity。