Des chercheurs en cybersécuritéLes solutions de cybersécurité sont essentielles à l’ère di… ont révélé des failles graves dans le processus de mise à jour des clients VPNUn VPN, abréviation de Virtual Private Network, ou Réseau Priv… corporatifs de Palo Alto Networks GlobalProtect et SonicWall NetExtender, ce qui pourrait permettre aux attaquants d’exécuter du code à distance sur les appareils des utilisateurs. Ces vulnérabilités, identifiées sous les noms de CVE-2024-5921 et CVE-2024-29014, exposent les entreprises à des risques significatifs dans les environnements corporatifs.
Détails des vulnérabilités
La vulnérabilité CVE-2024-5921 affecte les versions de GlobalProtect sur les systèmes Windows, macOS et Linux. Selon les chercheurs d’AmberWolf, la faille permet à un attaquant de connecter l’application GlobalProtect à des serveurs arbitraires, rendant possible l’installation de certificats racine malveillants et, avec eux, de logiciels signés de manière frauduleuse. Sur les systèmes Windows et macOS, les attaquants pourraient exécuter du code à distance et escalader des privilèges en exploitant le mécanisme de mise à jour automatique.
Dans le cas de CVE-2024-29014, qui affecte SonicWall NetExtender dans les versions antérieures à la 10.2.341 pour Windows, les attaquants peuvent exécuter du code avec les privilèges de SYSTEM durant une mise à jour du client. Un utilisateur pourrait être trompé pour se connecter à un serveur VPN malveillant, depuis lequel une mise à jour frauduleuse du client Endpoint Control (EPC) serait installée.
Solutions et atténuations
Palo Alto Networks a publié une mise à jour pour GlobalProtect (version 6.2.6 et ultérieure sur Windows), qui introduit des paramètres de configuration supplémentaires pour améliorer la validation des certificats. Cependant, les versions pour macOS et Linux n’ont pas encore de correctif disponible. Comme mesure d’atténuation, la société recommande d’activer le mode FIPS-CC sur les appareils affectés.
De son côté, SonicWall a corrigé la vulnérabilité dans NetExtender avec la version 10.2.341 pour Windows et suivantes. De plus, les experts suggèrent de mettre en place des règles de pare-feu pour restreindre l’accès aux serveurs VPN connus et légitimes, réduisant ainsi le risque que les utilisateurs se connectent à des serveurs malveillants.
Outils de test et contexte
Pour démontrer les vulnérabilités, les chercheurs ont développé NachoVPN, un outil open source qui simule des serveurs VPN malveillants capables d’exploiter ces failles. Selon AmberWolf, ces découvertes mettent en évidence les risques inhérents à l’utilisation de clients VPN avec des privilèges élevés dans les systèmes d’exploitation, soulignant l’importance de renforcer leur sécurité.
Risque pour les entreprises
Les clients VPN sont essentiels pour l’accès à distance sécurisé, mais ces vulnérabilités démontrent que, s’ils ne sont pas correctement protégés, ils peuvent devenir un vecteur d’attaque significatif. Les entreprises qui dépendent de ces outils pour leurs opérations doivent prioriser les mises à jour et envisager de mettre en œuvre immédiatement des mesures d’atténuation.
Cette découverte souligne la nécessité d’une approche proactive en matière de cybersécurité, en particulier dans le contexte actuel où les attaques contre les infrastructures critiques et les entreprises sont en augmentation. Palo Alto Networks et SonicWall ont exhorté leurs utilisateurs à mettre à jour les systèmes affectés et à suivre les meilleures pratiques de sécurité pour minimiser les risques.
Références: OpenSecurity, Palo Alto, HelpNetSecurity et NachoVPN.