En un reciente hallazgo que levanta serias preocupaciones en torno a la seguridad cibernética, investigadores han identificado fallos críticos en el proceso de actualización de los clientes VPN corporativos GlobalProtect de Palo Alto Networks y NetExtender de SonicWall. Estas vulnerabilidades, designadas como CVE-2024-5921 y CVE-2024-29014, podrían permitir a actores malintencionados ejecutar código remoto en los dispositivos de los usuarios, exponiendo a las empresas a riesgos importantes.
El fallo identificado como CVE-2024-5921 afecta a versiones de GlobalProtect en sistemas operativos como Windows, macOS y Linux. Investigadores de AmberWolf revelaron que este defecto posibilita que un atacante conecte la aplicación a servidores arbitrarios, facilitando la instalación de certificados raíz maliciosos y software firmado de manera fraudulenta. En plataformas Windows y macOS, podría usarse para escalar privilegios y ejecutar código remoto gracias a su mecanismo de actualización automática.
Por su parte, la vulnerabilidad CVE-2024-29014, presente en versiones de SonicWall NetExtender anteriores a la 10.2.341 para Windows, permite la ejecución de código con privilegios de SYSTEM durante las actualizaciones del cliente. Este fallo podría ser explotado engañando a los usuarios para conectarse a servidores VPN maliciosos y permitiendo la instalación de actualizaciones fraudulentas.
En respuesta, Palo Alto Networks ha introducido una actualización para GlobalProtect en Windows, específicamente la versión 6.2.6 y superiores, mejorando la validación de certificados. Sin embargo, aún no hay un parche disponible para macOS y Linux, aunque se recomienda habilitar el modo FIPS-CC como medida provisional de seguridad. SonicWall, mientras tanto, ha solucionado el problema en NetExtender con su versión 10.2.341 para Windows, y se aconseja a los usuarios implementar reglas de firewall que restrinjan el acceso a servidores VPN legítimos.
Para ilustrar estas vulnerabilidades, AmberWolf ha desarrollado NachoVPN, una herramienta de código abierto que simula servidores VPN maliciosos. Este avance subraya los peligros de operar clientes VPN con altos privilegios en sistemas operativos, insistiendo en la necesidad de fortalecer su seguridad.
Las implicaciones para las empresas son claras: el uso de clientes VPN sin la debida protección puede convertirse en un vector de ataque considerable. Dada la creciente dependencia de estas herramientas para operaciones remotas, se hace urgente priorizar sus actualizaciones y adoptar medidas de mitigación efectivas.
Este descubrimiento pone de relieve la urgencia de adoptar un enfoque proactivo en seguridad cibernética, especialmente en un tiempo donde los ataques a infraestructuras críticas están en aumento. Tanto Palo Alto Networks como SonicWall han solicitado a sus usuarios que mantengan los sistemas actualizados y sigan las mejores prácticas de seguridad para minimizar potenciales riesgos.
