보안 연구진이 팔로알토 네트웍스(Palo Alto Networks)의 글로벌프로텍트(GlobalProtect)와 소닉월(SonicWall)의 넷익스텐더(NetExtender) SSL-VPN 클라이언트에 심각한 취약점을 발견했다고 발표했다. “NachoVPN”으로 명명된 이 취약점은 공격자가 악성 VPN 서버를 통해 피해자 기기에 악성 업데이트를 설치하거나 민감한 정보를 탈취할 수 있는 위험성을 내포하고 있다.

앰버울프(AmberWolf) 보안 연구진은 공격자가 소셜 엔지니어링 기법을 활용해 사용자를 악성 VPN 서버로 유도할 수 있다고 밝혔다. 예를 들어, 악성 웹사이트나 피싱 이메일을 통해 피해자를 속여 공격자가 제어하는 VPN 서버에 접속하도록 만든다. 연결이 이루어지면, 악성 서버는 다음과 같은 공격을 수행할 수 있다.

-로그인 자격 증명 탈취: 사용자의 인증 정보를 수집

-임의 코드 실행: 피해자의 기기에서 관리자 권한으로 임의 코드를 실행

-악성 소프트웨어 설치: 정상적인 업데이트로 위장한 악성 소프트웨어 배포

-중간자 공격: 악성 루트 인증서를 설치해 암호화된 통신을 가로채거나 변조

해당 취약점에 대해 관련 기업들은 다음과 같은 조치를 취했다.

-소닉월(SonicWall): CVE-2024-29014로 명명된 취약점에 대해 2024년 7월 패치를 배포했다. 사용자는 넷익스텐더(NetExtender) 윈도우 버전 10.2.341 이상으로 업데이트해야 한다고 밝혔다.

-팔로알토 네트웍스(Palo Alto Networks): CVE-2024-5921로 명명된 취약점에 대해 2024년 11월 26일 보안 업데이트를 배포했다. 사용자는 글로벌프로텍트(GlobalProtect) 버전 6.2.6 이상으로 업그레이드하거나, VPN 클라이언트를 FIPS-CC 모드에서 실행하는 방법을 통해 위험을 완화할 수 있다고 권고했다.

앰버울프는 이번 취약점을 이해하고 방어하는 데 도움을 주기 위해 다음과 같은 자료를 제공했다.

-NachoVPN 툴 배포: 오픈소스 기반 도구로, 플랫폼에 구애받지 않고 악성 VPN 서버를 시뮬레이션할 수 있다. 이 툴은 시스코 애니커넥트(Cisco AnyConnect), 소닉월 넷익스텐더(SonicWall NetExtender), 팔로알토 글로벌프로텍트(Palo Alto GlobalProtect), 아이반티 커넥트 시큐어(Ivanti Connect Secure) 등 다양한 기업용 VPN 제품을 지원한다.

-기술 자문 자료 공개: 넷익스텐더(NetExtender)와 글로벌프로텍트(GlobalProtect) 취약점에 대한 기술 정보, 공격 벡터 및 네트워크 방어를 위한 권고 사항을 포함한 세부 정보를 공개했다.

NachoVPN 취약점은 다음과 같은 보안 조치가 요구된다. 

-신속한 소프트웨어 업데이트: VPN 클라이언트를 최신 버전으로 즉시 업데이트해 알려진 취약점으로부터 보호해야 한다.

-사용자 경각심 제고: 사용자가 신뢰할 수 없는 VPN 서버에 연결하지 않도록 교육하고, 피싱 시도를 인식할 수 있도록 해야 한다.

-강화된 보안 조치: VPN 클라이언트를 보안 모드(FIPS-CC)에서 실행하거나 다중 인증(MFA)을 적용하는 등 추가적인 보안 장치를 마련해야 한다.

관련 VPN 솔루션을 사용하는 조직과 개인은 권장 패치를 신속히 적용하고 보안 프로토콜을 점검해 이와 같은 취약점으로 인한 잠재적 위험을 최소화해야 한다.