Upatchede VPN-fejl kan hjælpe hackere med at angribe virksomheder, advare NSA og NCSC
Undersøgelser fra NSA (National Security Agency) og NCSC (National Cyber Security Center) afslørede, at bestemte VPN (Virtual Private Network) -tjenester muligvis er under angreb fra cyberkriminelle grupper kendt som APT ( Advanced Persistent Threat ). Det er dog muligt, at forskellige hackerhold også kunne være interesseret i at angribe sårbare VPN'er. Som et resultat kan mange internationale virksomheder, der bruger sådanne tjenester, være i fare, og derfor anbefaler cybersikkerhedsspecialister at tage øjeblikkelig handling. I dette blogindlæg diskuterer vi, hvilke applikationer der er målrettet, og hvad der gør VPN sårbar. Hvis du fortsætter med at læse, kan du finde ud af, hvad du skal gøre, hvis din virksomhed bruger en af de sårbare VPN-tjenester. Hvis du har spørgsmål til de diskuterede VPN-fejl, kan vi tilbyde vores kommentarafsnit, der kan findes i slutningen af denne side.
Table of Contents
Hvad gør VPN sårbar, og hvilke tjenester kan blive angrebet?
Pulse Secure , Fortinet og Palo Alto er de virksomheder, der leverer VPN-tjenester, der er målrettet af APT-hackere. Det blev også bemærket, at cyberkriminelle er efter virksomheder, der arbejder i følgende sektorer: regering, militær, uddannelse, erhvervsliv og sundhedsydelser. Det er sandsynligt, at deres mål er at få adgang til organisationers systemer, for eksempel at få følsom information eller droppe ondsindet software.
Ifølge NCSC er hackere opmærksomme på bestemte VPN-fejl, som de nævnte værktøjer har. VPN-værktøjet, der leveres af Pulse Secure, har to svagheder kaldet CVE02019-11510 og CVE-2019-11539 , som muligvis giver eksterne angribere mulighed for at læse vilkårlige filer eller udføre kommandoer via admin-grænsefladen. Fortinet's VPN-produkt har tre fejl, kaldet CVE-2018-13379 , CVE-2018-13382 og CVE-2018-13383 . Som du kan se, er de anførte fejl ikke nye, da de blev opdaget i 2018. Stadigvis kan der være brugere, der muligvis ikke har lappet dem endnu.
En anden ting, du skal vide om Fortinet's VPN-fejl er, at de muligvis giver angribere mulighed for at læse vilkårlige filer, ændre adgangskoder for SSL VPN-webportalbrugere og få shell kørt på en router. Hvad angår dem, der bruger Palo Alto-tjenesterne, kan de være glade for at høre, at denne VPN kun har en fejl, som ATP-hackerne muligvis kan udnytte. Det kaldes CVE-2019-1579 , og det kan give angribere mulighed for at udføre vilkårlig kode. Udnyttelse af vilkårlig eksekvering af kode muliggør, at angribere kan få de samme privilegier, som en bruger af en målrettet applikation eller et system kan have. For eksempel, hvis hackere udnytter en sådan fejl i VPN-software, kan de muligvis ændre dens indstillinger, se logfiler eller gøre noget andet, som en bruger kunne gøre.
Hvordan slipper man af med VPN-fejl?
VPN-fejl kan løses på samme måde som enhver anden softwaresvaghed. Når en virksomhed, der er ansvarlig for den, bliver kendt af en sårbarhed, søger en organisation normalt efter en måde at løse det på. Når der er fundet en løsning, vises der en patch eller en opdatering, som et produkts brugere kan downloade. Mens nogle værktøjer informerer brugerne om svagheder og programrettelser, der kan anvendes, er brugere nogle gange nødt til at finde ud af om dem på egen hånd, for eksempel når de besøger et virksomheds websted.
Alle de seks VPN-fejl, der blev fundet i Pulse Secure-, Fortinet- og Palo Alto-produkterne blev lappet for nogen tid siden. Uanset om du har fået besked om nødvendige programrettelser, men valgte at springe installationen af dem, eller du ikke har hørt om disse programrettelser endnu, anbefaler vi stærkt at anvende dem så hurtigt som muligt. I fremtiden skal du naturligvis altid installere opdateringer med det samme, hvis du vil have dine enheder og systemer til at være sikre.
Hvordan finder du ud af, om dine VPN-fejl muligvis er blevet udnyttet?
Hvis din VPN-applikation ikke er blevet lappet i ganske lang tid, anbefaler cybersecurity-specialister at tage ekstra forholdsregler. Betydning at du ikke kun skal anvende programrettelser, der vil løse dine VPN-fejl, men også undersøge aktiviteter, der er relateret til din VPN for at søge efter bevis for en overtrædelse. Nedenfor kan du se NCSC tip til, hvordan du finder bevis på kompromitterede VPN'er.
Pulse Connect
Organisationer, der bruger dette virksomheds VPN-tjenester, rådes til at søge efter forbindelser til mistænkelige webadresser. For at gøre dette, anbefaler specialister at fremsætte en HTTPS- anmodning til webgrænsefladen direkte og ikke via VPN. Hvis sådanne aktiviteter vises i begivenhedslogfiler, tilrådes det at tjekke søgelogger for URL-adresser, der indeholder spørgsmålstegn og slutter med / dana / html5acc / guacamole . Specialister anbefaler også at søge efter anmodninger til /dana-admin/diag/diag.cgi . Hvis sådanne data findes, og de dateres, før patches til CVE02019-11510 og CVE-2019-11539 blev installeret, er det muligt, at et system kan kompromitteres.
FortiGate
Det ser ud til, at hackere, der muligvis udnytter svagheden i CVE-2018-13379, kunne downloade en fil, der kaldes sslvpn_websession . Cybersecurity-eksperter siger, at det burde indeholde adgangskoder og brugernavne på alle aktive brugere, og filens størrelse skal være omkring 200 KB. En anden måde at kontrollere, om hackere muligvis har udnyttet et virksomheds VPN-fejl, er at undersøge firewall-logs eller Netflow- logfiler, hvis et program var konfigureret til at registrere dem. For at være mere præcise, rådgiver specialister på udkig efter TCP- sessioner med 200,00-250.000 byte fra SSL VPN-webgrænsefladeporten til klienten, hvilket kan give bevis for udnyttelse.
Palo Alto
Organisationer, der muligvis har brugt upatchede VPN-værktøjer fra dette firma, tilrådes at kigge efter sammenbrud i softwareloggene. Tilsyneladende kunne mislykkede forsøg på at udnytte denne VPN være synlige i dens logfiler, og det er det eneste, der kan hjælpe med at afgøre, om et system kan kompromitteres.
Hvad skal jeg gøre, hvis du finder ud af, om dine VPN-fejl blev udnyttet?
Cybersecurity-specialister rådgiver om tilbagekaldelse af login-legitimationsoplysninger og nulstilling af godkendelsesoplysninger. Derefter rådes ofrene til at kontrollere det overtrådte applikations konfigurationsmuligheder og søge efter uautoriserede ændringer, som, hvis de findes, burde gendannes. Som en ekstra forsigtighed kunne virksomheder aktivere tofaktorautentisering og deaktivere alle porte eller funktioner på deres VPN'er, som de ikke bruger eller har brug for. Naturligvis ville det også være smart at fortsætte med at overvåge netværkstrafik og VNP-logfiler for mistænkelige aktiviteter for at forhindre yderligere angreb. Som en sidste udvej foreslår eksperter inden for cybersikkerhed, at tørre kompromitterede enheder, hvis et firma mistænker en overtrædelse, men ikke kan finde bevis for hacking og ikke ønsker at tage nogen chancer.
Generelt kan brug af en VPN stadig hjælpe virksomheder med at beskytte deres systemer mod cyberkriminelle. Det er dog vigtigt at sikre sig, at der ikke er nogen VPN-fejl, da det er det, der gør VPN sårbar. Derfor anbefaler cybersecurity-eksperter, at der regelmæssigt kontrolleres for nye programrettelser og opdateringer. Jo før de er installeret, desto mindre er chancerne for, at hackere vil kunne udnytte upålagte svagheder. Sandsynligvis den nemmeste måde at sikre, at VPN-tjenester, som din virksomhed bruger, altid er ajourført er at ansætte et IT-team, der ville sikre, at din VPN såvel som anden software blev opdateret og opdateret i tide. For at lære mere om manglerne ved enterprise VPN'er anbefaler vi at læse her .
