Pesquisadores de cibersegurança revelaram um conjunto de vulnerabilidades em clientes de rede privada virtual (VPN) das empresas Palo Alto Networks e SonicWall, que podem ser exploradas para execução remota de código em sistemas Windows e macOS. Essas falhas destacam os riscos relacionados à confiança implícita que os clientes VPN depositam nos servidores, permitindo que atacantes manipulem comportamentos do cliente, executem comandos arbitrários e obtenham acesso privilegiado com pouco esforço.

Segundo a análise publicada, em um cenário hipotético de ataque, um servidor VPN malicioso poderia enganar os clientes, induzindo-os a baixar atualizações maliciosas que resultam em comprometimento do sistema. Para ilustrar essa ameaça, foi desenvolvido um protótipo de ferramenta de ataque chamada NachoVPN, capaz de simular servidores VPN fraudulentos e explorar essas vulnerabilidades para executar código privilegiado.

A Palo Alto Networks ressaltou que, para explorar a falha, o atacante precisaria ter acesso como um usuário local não administrativo ou estar na mesma sub-rede para instalar certificados raiz maliciosos no endpoint e utilizar esses certificados para implantar software malicioso assinado. Embora não haja evidências de exploração ativa dessas falhas, os usuários dos clientes Palo Alto Networks GlobalProtect e SonicWall NetExtender são fortemente recomendados a atualizar seus sistemas para as versões mais recentes disponíveis, garantindo proteção contra essas ameaças.

Além disso, a notícia vem à tona em paralelo a outra descoberta: pesquisadores da Bishop Fox detalharam como descriptografaram e analisaram o firmware de firewalls SonicWall.