Las VPN se han vuelto súper populares para mantener nuestra privacidad y seguridad online. Pero, ¿qué pasa si la herramienta que usas para protegerte termina siendo la que te pone en peligro? Un grupo de vulnerabilidades conocidas como "NachoVPN" está permitiendo que servidores VPN falsos instalen actualizaciones maliciosas en los dispositivos de los usuarios que se conectan con clientes SSL-VPN de Palo Alto y SonicWall sin parches.
Según investigadores de seguridad de AmberWolf, los hackers están aprovechando estas fallas para engañar a las víctimas. Utilizan técnicas como phishing o documentos maliciosos para convencer a los usuarios de conectar sus clientes VPN SonicWall NetExtender o Palo Alto Networks GlobalProtect a servidores controlados por ellos.
Una vez conectados, los atacantes pueden hacer de las suyas: robar credenciales de inicio de sesión, ejecutar código malicioso con permisos elevados, instalar malware disfrazado de actualizaciones legítimas e incluso lanzar ataques más avanzados, como falsificar firmas de código o instalar certificados raíz maliciosos para espiar el tráfico cifrado. En resumen, estas VPN falsas pueden convertirse en un desastre para la seguridad de las víctimas.
Podría interesarte leer: Vulnerabilidades en Firewalls Palo Alto Dejan 2,000 Equipos Hackeados
SonicWall y Palo Alto Networks finalmente han lanzado parches para abordar dos serias vulnerabilidades que afectan a sus clientes VPN, pero no sin retrasos importantes. SonicWall corrigió la falla CVE-2024-29014 en su cliente NetExtender en julio, dos meses después del reporte inicial, mientras que Palo Alto Networks apenas lanzó su actualización de seguridad para la vulnerabilidad CVE-2024-5921 de GlobalProtect, siete meses después de ser alertados y casi un mes después de que AmberWolf hiciera públicos los detalles en el evento SANS HackFest Hollywood.
Para solucionar estos problemas, SonicWall recomienda a los usuarios actualizar a NetExtender Windows 10.2.341 o versiones superiores, mientras que Palo Alto Networks sugiere instalar GlobalProtect 6.2.6 o posterior. También menciona que ejecutar el cliente VPN en modo FIPS-CC puede ayudar a mitigar los riesgos en caso de no poder actualizar de inmediato.
Por otro lado, AmberWolf no solo reveló más detalles sobre estas vulnerabilidades, sino que también lanzó una herramienta de código abierto llamada NachoVPN. Esta herramienta está diseñada para simular servidores VPN maliciosos capaces de explotar las vulnerabilidades identificadas.
“La herramienta es multiplataforma y puede reconocer diferentes clientes VPN, ajustando sus respuestas según el cliente que se conecte. Además, es extensible, lo que permite a la comunidad agregar nuevas vulnerabilidades a medida que se descubren”, explicó AmberWolf. Sin duda, NachoVPN pone sobre la mesa lo fácil que es para los atacantes aprovechar estos errores si no se toman las medidas necesarias para protegerse.
"Por ahora, la herramienta es compatible con varias VPN corporativas bastante conocidas, como Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect e Ivanti Connect Secure," explicó AmberWolf en la página de GitHub donde está disponible.
Además, AmberWolf compartió informes técnicos con más detalles sobre las vulnerabilidades de SonicWall NetExtender y Palo Alto GlobalProtect. En estos documentos se incluyen explicaciones sobre cómo podrían ser explotadas, posibles vectores de ataque y recomendaciones claras para que los equipos de seguridad refuercen la protección de sus redes frente a estos riesgos.
Te podrá interesar leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
Mantén tus VPN actualizadas: Asegúrate de usar siempre las versiones más recientes y parcheadas de tu VPN. No dejes para después esas actualizaciones; son clave para cerrar las puertas a posibles ataques.
Cuidado con los enlaces sospechosos: Evita caer en trampas como correos, documentos o sitios web que no esperabas o que parecen sospechosos. Si algo no te suena bien, es mejor no hacer clic.
Refuerza tus políticas de seguridad: Si puedes, habilita configuraciones como el modo FIPS-CC o utiliza protocolos de seguridad avanzados. Estas herramientas pueden ayudarte a mitigar riesgos en caso de que algo se filtre.
Monitorea tu red constantemente: No bajes la guardia. Mantente atento a cualquier actividad extraña, como conexiones VPN que no reconozcas o un uso raro de las credenciales. Detectar estos movimientos a tiempo puede marcar la diferencia entre un problema menor y un ataque serio.
El caso de NachoVPN es un recordatorio de lo rápido que los atacantes pueden aprovechar cualquier descuido para ponernos en riesgo. Por eso, es clave entender la importancia de mantener nuestras herramientas actualizadas y aplicar los parches de seguridad en cuanto están disponibles.
Sí, las actualizaciones pueden parecer molestas o llegar en el momento menos oportuno, pero no están ahí para complicarnos la vida, sino para protegernos. Cada parche corrige fallas y bloquea las puertas que los ciberdelincuentes intentan forzar. Ya sea que uses software para el trabajo o para cosas personales, mantenerlo al día es una de las formas más simples y efectivas de cuidar tus datos.