NachoVPN - Le serveur qui transforme votre VPN en buffet à volonté

par Korben -

Alors les amis, l’histoire du jour sent le piment bien fort. Des chercheurs en cybersécurité d’AmberWolf viennent de dévoiler un outil baptisé NachoVPN qui met littéralement à genoux certaines des solutions VPN parmi les plus répandues en entreprise. Palo Alto Networks ? SonicWall ? Des noms ronflants dans le domaine, utilisés par les plus grosses boîtes… Eh bien, leurs clients VPN se font retourner comme des crêpes grâce à cette trouvaille. Et ce n’est pas qu’une théorie : l’outil est disponible, avec preuves techniques et PoC (Proof of Concept) à l’appui !

Le principe ?

NachoVPN joue les serveurs VPN malveillants. Ainsi, il exploite la confiance aveugle des clients VPN envers leurs serveurs habituels. Vous, tranquille sur votre PC à la maison, pensant bosser à distance en toute sécurité, vous connectez à votre VPN d’entreprise… Sauf qu’à l’insu de votre plein gré, votre client se retrouve relié à un serveur “déguisé” en VPN légitime. Et là, c’est la fête du slip pour l’attaquant : mises à jour vérolées, exécution de code malicieux, compromission totale de la machine, tout ça avec les plus hauts privilèges. Bref, un joli carnage numérique.

Les chercheurs ont identifié deux failles majeures :

  • CVE-2024-5921 (score CVSS : 5.6) : affecte Palo Alto GlobalProtect (Windows, macOS, Linux). Elle permet au client d’être connecté à des serveurs arbitraires, ouvrant la voie à l’installation de logiciels véreux. Un correctif est dispo dans la version Windows 6.2.6 (et probablement des mises à jour équivalentes sur d’autres OS).
  • CVE-2024-29014 (score CVSS : 7.1) : touche SonicWall NetExtender (Windows). L’attaquant peut pousser une mise à jour EPC (End Point Control) trafiquée et exécuter du code avec les privilèges SYSTEM. La faille, présente jusqu’en version 10.2.339, est corrigée en 10.2.341.

Concrètement, un cyber-méchant met en place un serveur NachoVPN sur une IP sous son contrôle. Ensuite, vous visitez un site malicieux, cliquez sur un lien foireux, ou ouvrez un document vérolé qui fait discrètement basculer votre client VPN vers ce faux serveur. De là, le faux serveur “offre” au client une mise à jour personnalisée et voilà… votre machine avale du code malicieux signé par un certificat que l’attaquant a réussi à imposer et une fois le code lancé, c’est open bar : récupération de vos identifiants, installation de certificats racines malveillants, exécution d’absolument n’importe quel binaire avec les droits les plus élevés, et au final, prise de contrôle complète du poste.

Credit: Ashton Rodenhiser

Sur GlobalProtect, ce genre d’attaque peut également être utilisé pour piquer vos credentials VPN, paver la route à d’autres attaques, voire transformer votre machine en zombie dans le SI de votre boîte. Du côté de SonicWall NetExtender, la combinaison d’un certificat volé mais valide et d’un faux serveur permet d’exécuter du code en SYSTEM en un clin d’œil, simplement parce que l’utilisateur a visité une URL louche ou ouvert un doc piégé.

Je vous sens déprimé, alors je vais quand même vous donner quelques bonnes nouvelles :

  • Il n’y a pas de preuve, pour l’heure, d’exploit dans la nature (et on espère que ça va durer).
  • Des mises à jour sont déjà dispos.
  • Les éditeurs ont documenté le problème et proposent des solutions de contournement.

Maintenant, voici mes conseils pour dormir plus tranquille :

  1. Mettez à jour vos clients VPN : Installez les dernières versions (GlobalProtect Windows 6.2.6, SonicWall NetExtender 10.2.341, etc.).
  2. Verrouillez vos profils VPN : Restreignez-les aux seuls serveurs approuvés.
  3. Utilisez des règles de pare-feu pointues : Limitez les IP autorisées à communiquer avec votre client VPN.
  4. Contrôle d’applications (WDAC) ou EDR : Bloquez l’exécution de binaires inconnus poussés par le VPN.
  5. Surveillez les processus lancés par le VPN : Tout comportement suspect doit déclencher une alerte.

Et si vous voulez explorer le sujet plus en profondeur, le code source de NachoVPN est dispo sur GitHub, avec une doc très détaillée. AmberWolf a également partagé une présentation complète de leurs recherches lors de la conférence HackFest Hollywood 2024. Autant dire qu’on n’a pas fini d’en entendre parler.

Bref, si vous gérez un parc de clients VPN, prenez cette affaire au sérieux. Et si vous êtes simple utilisateur, vérifiez bien que votre client est à jour. Mieux vaut être un peu parano que totalement compromis.

Source

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus