内容摘要：研究人员发现了Palo Alto NetworksCVE-2024-5921）和SonicWallCVE-2024-29014）企业VPN客户端更新过程中的漏洞，这些漏洞可能被利用来远程执行代码。CV

研究人员发现了Palo Alto Networks（CVE-2024-5921）和SonicWall（CVE-2024-29014）企业VPN客户端更新过程中的企业漏洞，这些漏洞可能被利用来远程执行代码 。入侵

CVE-2024-5921

CVE-2024-5921影响Palo Alto的键路径GlobalProtect App在Windows、macOS和Linux上的企业多个版本 ，起因是入侵认证验证不足。

该公司确认 ，键路径这使得攻击者能够将GlobalProtect应用连接到任意服务器，企业并且指出这可能导致攻击者在终端安装恶意根证书，入侵随后安装由这些证书签名的键路径恶意软件  。

AmberWolf研究人员Richard Warren和David Cash解释说  ：“GlobalProtect VPN客户端的企业Windows和macOS版本都容易受到远程代码执行（RCE）和权限提升的影响
，服务器租用这是入侵通过自动更新机制实现的。虽然更新过程要求MSI文件必须签名，键路径但攻击者可以利用PanGPS服务安装一个恶意信任的企业根证书
，从而实现RCE和权限提升。入侵更新执行时具有服务组件的键路径权限级别（Windows上的SYSTEM和macOS上的root）。”

“默认情况下，用户可以在VPN客户端的用户界面组件（PanGPA）中指定任意端点。这种行为可以被利用于社交工程攻击中 ，攻击者诱骗用户连接到恶意VPN服务器 
。云计算这些服务器可以捕获登录凭证 ，并通过恶意客户端更新破坏系统。”

Palo Alto表示：“这个问题在GlobalProtect应用6.2.6及所有后续的6.2版本中已修复
。”该公司还引入了一个额外的配置参数（FULLCHAINCERTVERIFY），应该启用以加强对系统信任证书库的证书验证。

根据PAN的安全咨询，目前还没有针对macOS或Linux版本的应用的修复 。

不过 ，有一个权宜之计/缓解措施，即在端点上为GlobalProtect应用启用FIPS-CC模式（并在GlobalProtect门户/网关上启用FIPS-CC模式） 。亿华云

AmberWolf研究人员表示 ，还可以实施基于主机的防火墙规则 ，以防止用户连接到恶意VPN服务器 。

CVE-2024-29014

CVE-2024-29014影响SonicWall的NetExtender VPN客户端在Windows版本10.2.339及更早版本 
，当处理端点控制（EPC）客户端更新时 ，允许攻击者以SYSTEM权限执行代码 。该漏洞源于签名验证不足 。

有几种利用场景可能导致这种情况。例如
，用户可能被诱骗将他们的NetExtender客户端连接到恶意VPN服务器  ，并安装假冒的（恶意的）EPC客户端更新。源码下载

AmberWolf研究人员解释了另一种方法：“当安装了SMA Connect代理时
，攻击者可以利用自定义URI处理程序强制NetExtender客户端连接到他们的服务器 。用户只需要访问恶意网站并接受浏览器提示，或打开恶意文档  ，攻击就可以成功。”

SonicWall在今年早些时候已经在NetExtender Windows（32位和64位）10.2.341及更高版本中修补了这个漏洞，并敦促用户升级。

AmberWolf建议：“如果立即升级不可行，考虑使用客户端防火墙限制对已知合法VPN端点的访问
，以防止用户无意中连接到恶意服务器 。”

VPN在许多场景下被视为不可或缺的工具 ，它提供了加密通道，使得用户可以在公共网络上安全地传输数据
，源码库同时也能绕过地理限制访问被封锁的内容。例如对于需要远程工作的员工，VPN提供了安全访问公司内部网络的能力 ，确保了数据传输的保密性和完整性
。 但不可否认的是，VPN的存在也给企业带来了更多的攻击面，并且成为黑客攻击的跳板。免费模板

参考来源
：https://www.helpnetsecurity.com/2024/11/26/vulnerabilities-corporate-vpn-clients-cve-2024-5921-cve-2024-29014/