Recientes investigaciones en el ámbito de la ciberseguridad han puesto al descubierto serias vulnerabilidades en el proceso de actualización de los clientes VPN corporativos GlobalProtect de Palo Alto Networks y NetExtender de SonicWall. Estos fallos, registrados bajo los códigos CVE-2024-5921 y CVE-2024-29014, podrían permitir a los atacantes ejecutar código de forma remota en dispositivos corporativos, representando una amenaza considerable para entornos empresariales.
El problema identificado como CVE-2024-5921 afecta a las versiones de GlobalProtect en sistemas operativos Windows, macOS y Linux. Los investigadores de AmberWolf detallan que esta vulnerabilidad permite a un atacante introducir la aplicación en servidores no autorizados, lo que facilita la instalación de certificados raíz fraudulentos y software malicioso. En Windows y macOS, el fallo podría ser explotado para que los atacantes ejecuten código de manera remota y escalen privilegios a través del sistema de actualización automática del cliente.
Por su parte, la vulnerabilidad CVE-2024-29014, presente en las versiones de SonicWall NetExtender anteriores a la 10.2.341 para Windows, habilita la ejecución de código con privilegios de SYSTEM durante el proceso de actualización del cliente. Esto se lograría engañando al usuario para conectar su dispositivo a un servidor VPN hostil, desde donde podría descargarse una actualización de control de endpoint fraudulenta.
Ante estas amenazas, Palo Alto Networks ha respondido con una actualización para su cliente de Windows que incorpora estrictas medidas de validación de certificados. No obstante, los usuarios de macOS y Linux deberán esperar soluciones específicas mientras se recomienda habilitar el modo FIPS-CC como medida temporal de mitigación. SonicWall también ha lanzado un parche corrector para NetExtender a partir de la versión 10.2.341, además de sugerir medidas precautorias como la implementación de reglas de firewall que limiten las conexiones a servidores VPN conocidos y confiables.
Para evidenciar estas vulnerabilidades, las mentes detrás de sus descubrimientos han desarrollado NachoVPN, una herramienta de código abierto que emula servidores VPN maliciosos para aprovechar estos fallos. AmberWolf resalta la necesidad de fortalecer la seguridad de los clientes VPN, un componente crítico para el acceso remoto seguro en el entorno empresarial actual.
Las VPN corporativas, herramienta clave para acceso seguro a recursos de la empresa, pueden transformarse en un punto de entrada para ciberdelincuentes si no están adecuadamente protegidas. Las organizaciones que dependen de estas tecnologías deben proceder a la actualización inmediata de sus sistemas y aplicar estrategias de mitigación para salvaguardar sus infraestructuras.
Estas revelaciones subrayan la importancia de adoptar un enfoque proactivo en ciberseguridad. En un momento donde los ataques a infraestructuras críticas están en aumento, las empresas deben ejercer la diligencia necesaria para proteger sus activos digitales. Tanto Palo Alto Networks como SonicWall han instado a los usuarios a mantener sus sistemas actualizados y a adoptar las mejores prácticas de seguridad para reducir los riesgos de explotación.