Investigadores han revelado vulnerabilidades explotables en los clientes VPN corporativos GlobalProtect de Palo Alto Networks y NetExtender de SonicWall, que podrían permitir a atacantes ejecutar código remoto (RCE) en los dispositivos de los usuarios. Estas brechas de seguridad, identificadas como CVE-2024-5921 y CVE-2024-29014, afectan a miles de empresas que confían en estos sistemas para sus conexiones seguras.
Brechas en el cliente GlobalProtect de Palo Alto
La vulnerabilidad CVE-2024-5921 afecta a varias versiones de la aplicación GlobalProtect en Windows, macOS y Linux. Según los investigadores de AmberWolf, la brecha radica en una validación insuficiente de los certificados durante el proceso de actualización. Este fallo permite que atacantes conecten la aplicación a servidores maliciosos, instalando certificados raíz comprometidos que podrían firmar software malicioso y escalar privilegios.
Los sistemas Windows y macOS son especialmente vulnerables, ya que las actualizaciones del cliente se ejecutan con privilegios de administrador (SYSTEM en Windows y root en macOS). Aunque Palo Alto ha solucionado el problema en la versión 6.2.6 para Windows, no existen aún parches para macOS ni Linux. Como medida temporal, se recomienda activar el modo FIPS-CC en los puntos de conexión y portales GlobalProtect.
Vulnerabilidad en el cliente NetExtender de SonicWall
Por otro lado, la vulnerabilidad CVE-2024-29014 afecta al cliente NetExtender para Windows en versiones anteriores a la 10.2.341. Este fallo permite la ejecución de código con privilegios de sistema al procesar actualizaciones del cliente EPC, lo que podría ser aprovechado mediante un servidor VPN malicioso o ataques de ingeniería social que engañen a los usuarios para instalar actualizaciones falsas.
SonicWall ya ha lanzado un parche en la versión 10.2.341 y ha recomendado a los usuarios actualizar de inmediato. Para quienes no puedan hacerlo, se sugiere utilizar un firewall local para restringir las conexiones a servidores VPN legítimos y evitar conexiones accidentales a servidores maliciosos.
Un riesgo creciente para las empresas
Las herramientas VPN son esenciales para el acceso remoto seguro, pero estas vulnerabilidades subrayan el riesgo asociado a su alta exposición en los sistemas. “Estos clientes VPN presentan una superficie de ataque enorme debido a los privilegios elevados que requieren para funcionar”, señalaron los investigadores.
Herramientas de ataque y medidas de mitigación
Los investigadores han desarrollado NachoVPN, una herramienta de código abierto que simula servidores VPN maliciosos para explotar estas y otras vulnerabilidades, destacando la importancia de reforzar la seguridad en estos sistemas.
Las empresas deben aplicar actualizaciones de software de manera urgente y considerar medidas adicionales como la implementación de firewalls y la validación estricta de certificados. Este incidente refuerza la necesidad de una supervisión constante y estrategias proactivas para proteger la infraestructura digital frente a amenazas emergentes.
Referencias: Palo Alto, HelpNetSecurity y NachoVPN.