A nem feltöltött VPN-hibák segíthetnek a hackerek támadó vállalatainak, figyelmeztetik az NSA-t és az NCSC-t
Az NSA (Nemzetbiztonsági Ügynökség) és az NCSC (Nemzeti Kiberbiztonsági Központ) vizsgálata során kiderült, hogy bizonyos VPN (virtuális magánhálózat) szolgáltatásokat támadhatnak az APT ( Advanced Peristent Threat ) néven ismert kiberbűnözői csoportok. Előfordulhat azonban, hogy különböző hackerek is érdeklődhetnek a kiszolgáltatott VPN-ek támadása iránt. Ennek eredményeként sok ilyen szolgáltatást igénybe vevő nemzetközi vállalat veszélyben lehet, ezért a kiberbiztonsági szakemberek azonnali fellépést javasolnak. Ebben a blogbejegyzésben megvitatjuk, mely alkalmazásokat célozzák meg, és mi teszi a VPN-t sebezhetővé. Továbbá, ha folytatja az olvasást, megtudhatja, mit kell tennie, ha a vállalat az egyik kiszolgáltatott VPN-szolgáltatást használja. Ha bármilyen kérdése van a megvitatott VPN-hibákkal kapcsolatban, felkínálhatjuk megjegyzéseink részét, amely az oldal végén található.
Table of Contents
Mi teszi a VPN-t sebezhetővé, és mely szolgáltatásokat lehet támadni?
A Pulse Secure , a Fortinet és a Palo Alto azok a vállalatok, amelyek VPT szolgáltatásokat nyújtanak, és amelyeket az APT hackerek céloznak meg. Azt is észrevették, hogy a számítógépes bűnözők a következő ágazatokban működő vállalatokat követik el: kormányzati, katonai, oktatási, üzleti és egészségügyi. Valószínűleg célja az, hogy hozzáférést nyújtson a szervezetek rendszerekéhez, például érzékeny információk beszerzése vagy rosszindulatú szoftverek eldobása céljából.
Az NCSC szerint a hackerek tisztában vannak a felsorolt eszközök VPN-hibáival. A Pulse Secure által biztosított VPN eszköznek két gyengesége van: CVE02019-11510 és CVE-2019-11539 , amelyek lehetővé teszik a távoli támadók számára, hogy tetszőleges fájlokat olvassanak vagy parancsokat hajtsanak végre az admin felületen keresztül. A Fortinet VPN termékének három hibája van: CVE-2018-13379 , CVE-2018-13382 és CVE-2018-13383 . Mint láthatja, a felsorolt hibák nem újak, mivel 2018-ban fedezték fel őket. Mégis vannak olyan felhasználók, akik esetleg még nem javították meg őket.
Egy másik dolog, amit tudnia kell a Fortinet VPN hibáiról, hogy ezek lehetővé teszik a támadók számára, hogy tetszőleges fájlokat olvassanak, megváltoztassák az SSL VPN webportál felhasználói jelszavait, és megkapják a shell futását egy útválasztón. A Palo Alto szolgáltatásokat igénybe vevőket illetően örülhetnek annak, hogy megtudják, hogy ennek a VPN-nek csak egy hibája van, amelyet az ATP hackerek képesek kihasználni. Ennek neve CVE-2019-1579 , és ez lehetővé teheti a támadók számára, hogy tetszőleges kódot hajtsanak végre. Az önkényes kódfuttatás kihasználásával a támadók ugyanazokat a jogokat szerezhetik, mint a célzott alkalmazás vagy a rendszer felhasználói. Például, ha a hackerek kihasználják a VPN-szoftver ilyen hibáját, akkor megváltoztathatják annak beállításait, megnézhetik a naplókat, vagy bármi mást tehetnek, amit a felhasználó megtehet.
Hogyan lehet megszabadulni a VPN hibáitól?
A VPN hibákat ugyanúgy lehet megoldani, mint a többi szoftver gyengeséget. Általában, ha a sérülékenységet a felelősségteljes vállalat megismerheti, a szervezet keresi a javítás módját. Miután megoldást találtak, javítás vagy frissítés jelenik meg, amelyet a termék felhasználói letölthetnek. Míg egyes eszközök tájékoztatják a felhasználókat az alkalmazható gyengeségekről és javításokról, néha a felhasználóknak saját maguknak kell tudniuk róluk, például egy cég webhelyének látogatása közben.
A Pulse Secure, Fortinet és Palo Alto termékekben talált mind a hat VPN-hiba javításra került egy ideje. Ha értesítést kap a szükséges javításokról, de úgy döntött, hogy kihagyja a telepítést, vagy még nem hallottál ezekről a javításokról, azt javasoljuk, hogy a lehető leghamarabb alkalmazzák őket. Természetesen a jövőben mindig azonnal telepítenie kell a frissítéseket, ha azt akarja, hogy eszközei és rendszerei biztonságosak legyenek.
Hogyan lehet megállapítani, hogy a VPN-hibákat kihasználták-e?
Ha a VPN-alkalmazás egy ideje nem került javításra, a kiberbiztonsági szakemberek javasolnak további óvintézkedéseket. Ez azt jelenti, hogy nemcsak javításokat kell alkalmaznia, amelyek kijavítják a VPN hibáit, hanem a VPN-hez kapcsolódó tevékenységeket is meg kell vizsgálnia a jogsértés bizonyítékainak keresése céljából. Az alábbiakban ismertetheti az NCSC tippeit a veszélyeztetett VPN-k bizonyítékainak megtalálására.
Pulse Connect
A vállalat VPN-szolgáltatásait használó szervezeteknek javasoljuk, hogy keressenek kapcsolatot gyanús URL-ekkel. Ehhez a szakemberek azt javasolják, hogy a HTTPS- kérelmet közvetlenül a webes felületre tegyék, és ne a VPN-en keresztül. Ha ilyen tevékenységek jelennek meg az eseménynaplóban, akkor tanácsos ellenőrizni a keresőnaplóban az URL-címeket, amelyek kérdőjeleket tartalmaznak és / dana / html5acc / guacamole-vel fejeződnek be . A szakemberek azt is javasolják, hogy keressenek kérelmeket a /dana-admin/diag/diag.cgi címre . Ha találnak ilyen adatokat, és a CVE02019-11510 és a CVE-2019-11539 hiányosságokra vonatkozó javítások telepítését megelőzően jönnek létre, akkor lehetséges, hogy a rendszer veszélybe kerül.
FortiGate
Úgy tűnik, hogy a CVE-2018-13379 gyengeségét kihasználó hackerek letölthetik az sslvpn_websession nevű fájlt . A kiberbiztonsági szakértők szerint minden aktív felhasználó jelszavát és felhasználónevét tartalmaznia kell, és a fájl mérete kb. 200 KB lehet. Egy másik módszer annak ellenőrzésére, hogy a hackerek kihasználták-e a vállalat VPN-hibáit, a tűzfal- vagy a Netflow- naplók vizsgálata, ha egy programot úgy konfiguráltak, hogy rögzítsék őket. Pontosabban fogalmazva, a szakemberek azt tanácsolják, hogy keressenek 200,00–250 000 bájtnyi TCP- munkamenetet az SSL VPN webes felület portjáról az ügyfél számára, amely bizonyítékot szolgáltathat a kiaknázásra.
Palo Alto
Azoknak a szervezeteknek, amelyek esetleg a vállalat nem tömörített VPN-eszközeit használtak, javasoljuk, hogy keressenek összeomlásokat a szoftvernaplókban. Nyilvánvaló, hogy a VPN kiaknázásának sikertelen kísérletei láthatók lennének a naplóiban, és ez az egyetlen dolog, amely segíthet annak megállapításában, hogy egy rendszer veszélybe kerülhet-e.
Mi a teendő, ha kiderül, hogy a VPN-hibákat kihasználták?
A kiberbiztonsági szakemberek a veszélyeztetett bejelentkezési hitelesítő adatok visszavonását és a hitelesítési hitelesítő adatok visszaállítását javasolják. Ezután az áldozatoknak javasoljuk, hogy ellenőrizzék a megsértett alkalmazás konfigurációs beállításait, és keressenek jogosulatlan módosításokat, amelyeket, ha találtak, helyre kell állítani. Kiegészítő óvintézkedésként a vállalatok engedélyezhetik a kétfaktoros hitelesítést, és letilthatják a VPN-ek minden olyan portját vagy funkcióját, amelyet nem használnak vagy igényelnek. Természetesen okos lenne a hálózati forgalom és a VNP naplózását is gyanús tevékenységekkel folytatni a további támadások megelőzése érdekében. Végső megoldásként a kiberbiztonsági szakértők javasolják a veszélyeztetett eszközök törlését, ha egy vállalat gyanúja merül fel a jogsértésekkel kapcsolatban, de nem találnak bizonyítékot a hackelésre, és nem akarnak kockázatot tenni.
Összességében a VPN használata továbbra is segíthet a vállalkozásoknak megóvni rendszereiket a számítógépes bűnözőkkel szemben. Fontos azonban ellenőrizni, hogy nincsenek-e VPN-hibák, mivel éppen ez teszi a VPN-t sebezhetővé. Ezért a kiberbiztonsági szakértők javasolják az új javítások és frissítések rendszeres ellenőrzését. Minél hamarabb telepítik őket, annál kisebb az esélye, hogy a hackerek képesek legyenek kiaknázni a még nem ismert gyengeségeket. Valószínűleg a legegyszerűbb módszer annak biztosítására, hogy a vállalata által használt VPN-szolgáltatások mindig naprakészek legyenek, ha olyan informatikai csoportot vesz fel, amely gondoskodik arról, hogy VPN-jét, valamint egyéb szoftvereit időben javítsák és frissítsék. Ha többet szeretne megtudni a vállalati VPN-ek hibáiról, javasoljuk, hogy olvassa el itt .