Un delicioso pero malicioso servidor SSL-VPN: NachoVPN 🌮

¿Qué sucedería si te conectaras a un endpoint VPN incorrecto? Bueno, eso depende del cliente VPN que estés usando y de quién controlaba el servidor...

Los amigos Richard Warren y David Cash, ahora en AmberWolf, presentaron en la HackFest Hollywood 2024 la charla "Very Pwnable Networks: Exploiting the Top Corporate VPN Clients for Remote Root and SYSTEM Shells", donde compartieron detalles sobre cómo los atacantes pueden explotar las vulnerabilidades en los principales clientes VPN corporativos para obtener ejecución remota de código en los sistemas operativos macOS y Windows.

Y de la mano de esa investigación han publicado también NachoVPN (nombre no muy afortunado IMHO), una herramienta de código abierto que demuestra los escenarios de ataque que analizaron y que ayuda a los azulones a comprender y mitigar estos riesgos. Básicamente NachoVPN es una prueba de concepto que demuestra la explotación de clientes SSL-VPN mediante un servidor VPN falso.

Utiliza una arquitectura basada en plugins para que la comunidad pueda contribuir con el soporte para productos SSL-VPN adicionales. Actualmente, es compatible con varios productos VPN corporativos populares, como Cisco AnyConnect, SonicWall NetExtender, Palo Alto GlobalProtect e Ivanti Connect Secure:

Plugin	Producto	CVE	Windows RCE	macOS RCE	Privilegiado	URI Handler	Packet Capture	Demo
Cisco	Cisco AnyConnect	N/A	✅	✅	❌	❌	✅	Windows / macOS
SonicWall	SonicWall NetExtender	CVE-2024-29014	✅	❌	✅	✅	❌	Windows
PaloAlto	Palo Alto GlobalProtect	CVE-2024-5921 (partial fix)	✅	✅	✅	❌	✅	Windows / macOS / iOS
PulseSecure	Ivanti Connect Secure	N/A	✅	✅	❌	✅ (Windows solo)	✅	Windows

Tenéis, a parte del código, instrucciones de uso, vídeos, ejemplos de configuración y un README detallado para orientar a investigadores y desarrolladores en su repo en Github bajo la licencia MIT: https://github.com/AmberWolfCyber/NachoVPN