Difetti VPN senza patch possono aiutare gli hacker ad attaccare le imprese, avvertire NSA e NCSC

Le indagini condotte da NSA (National Security Agency) e NCSC (National Cyber Security Center) hanno rivelato che particolari servizi VPN (Virtual Private Network) potrebbero essere attaccati da gruppi criminali informatici noti come APT ( Advanced Persistent Threat ). Tuttavia, è possibile che diversi team di hacker possano essere interessati ad attaccare anche VPN vulnerabili. Di conseguenza, molte aziende internazionali che utilizzano tali servizi potrebbero essere in pericolo, motivo per cui gli specialisti della sicurezza informatica raccomandano di agire immediatamente. In questo post del blog, discutiamo quali applicazioni sono mirate e cosa rende vulnerabile la VPN. Inoltre, se continui a leggere, puoi scoprire cosa dovresti fare se la tua azienda utilizza uno dei servizi VPN vulnerabili. Se hai domande sui difetti della VPN discussi, possiamo offrire la nostra sezione commenti che puoi trovare alla fine di questa pagina.

Cosa rende vulnerabile la VPN e quali servizi potrebbero essere sotto attacco?

Pulse Secure , Fortinet e Palo Alto sono le società che forniscono servizi VPN, che sono prese di mira dagli hacker APT. Inoltre, è stato notato che i criminali informatici cercano aziende che lavorano nei seguenti settori: governo, esercito, istruzione, affari e sanità. È probabile che il loro obiettivo sia ottenere l'accesso ai sistemi delle organizzazioni, ad esempio per ottenere informazioni riservate o eliminare software dannoso.

Secondo NCSC , gli hacker sono consapevoli di particolari difetti VPN che hanno gli strumenti elencati. Lo strumento VPN fornito da Pulse Secure presenta due punti deboli chiamati CVE02019-11510 e CVE-2019-11539 , che possono consentire agli autori di attacchi remoti di leggere file arbitrari o eseguire comandi tramite l'interfaccia di amministrazione. Il prodotto VPN di Fortinet ha tre difetti chiamati CVE-2018-13379 , CVE-2018-13382 e CVE-2018-13383 . Come puoi vedere, i difetti elencati non sono nuovi in quanto sono stati scoperti nel 2018. Tuttavia, potrebbero esserci utenti che potrebbero non averli ancora corretti.

Un'altra cosa che dovresti sapere sui difetti VPN di Fortinet è che possono consentire agli aggressori di leggere file arbitrari, cambiare le password degli utenti del portale web SSL VPN e far funzionare la shell su un router. Per quanto riguarda coloro che utilizzano i servizi Palo Alto, potrebbero essere lieti di apprendere che questa VPN ha solo un difetto che gli hacker ATP potrebbero essere in grado di sfruttare. Si chiama CVE-2019-1579 e può consentire agli aggressori di eseguire codice arbitrario. Lo sfruttamento dell'esecuzione di codice arbitrario potrebbe consentire agli aggressori di ottenere gli stessi privilegi di un utente di un'applicazione di destinazione o di un sistema. Ad esempio, se gli hacker sfruttano tale difetto nel software VPN, potrebbero essere in grado di modificarne le impostazioni, visualizzare i registri o fare qualsiasi altra cosa che un utente possa fare.

Come sbarazzarsi dei difetti della VPN?

I difetti della VPN possono essere risolti allo stesso modo di qualsiasi altro punto debole del software. Di solito, una volta che una vulnerabilità viene riconosciuta a un'azienda responsabile, un'organizzazione cerca un modo per risolverlo. Dopo aver trovato una soluzione, viene visualizzata una patch o un aggiornamento che gli utenti di un prodotto possono scaricare. Mentre alcuni strumenti informano gli utenti su punti deboli e patch che possono essere applicati, a volte gli utenti devono scoprirli da soli, ad esempio, visitando il sito Web di un'azienda.

Tutti i sei difetti VPN rilevati nei prodotti Pulse Secure, Fortinet e Palo Alto sono stati riparati qualche tempo fa. Se sei stato informato delle patch necessarie, ma hai scelto di saltare l'installazione o se non hai ancora sentito parlare di queste patch, ti consigliamo vivamente di applicarle il prima possibile. Naturalmente, in futuro, dovresti sempre installare gli aggiornamenti immediatamente se vuoi che i tuoi dispositivi e sistemi siano al sicuro.

Come determinare se i tuoi difetti VPN potrebbero essere stati sfruttati?

Se l'applicazione VPN non è stata patchata per un po 'di tempo, gli specialisti della sicurezza informatica consigliano di prendere ulteriori precauzioni. Ciò significa che non dovresti solo applicare patch che riparerebbero i tuoi difetti VPN, ma anche indagare sulle attività correlate alla tua VPN per cercare prove di una violazione. Di seguito puoi vedere i suggerimenti NCSC su come trovare prove di VPN compromesse.

Pulse Connect

Si consiglia alle organizzazioni che utilizzano i servizi VPN di questa azienda di cercare connessioni a URL sospetti. Per fare ciò, gli specialisti raccomandano di effettuare una richiesta HTTPS all'interfaccia Web direttamente e non tramite la VPN. Se tali attività compaiono nei registri degli eventi, è consigliabile controllare i registri di ricerca per gli indirizzi URL contenenti punti interrogativi che terminano con / dana / html5acc / guacamole . Inoltre, gli specialisti raccomandano di cercare richieste in /dana-admin/diag/diag.cgi . Se tali dati vengono rilevati e risalgono a prima dell'installazione delle patch per i punti deboli CVE02019-11510 e CVE-2019-11539, è possibile che un sistema possa essere compromesso.

FortiGate

Sembra che gli hacker che potrebbero sfruttare la debolezza di CVE-2018-13379 potrebbero scaricare un file chiamato sslvpn_websession . Gli esperti di sicurezza informatica dicono che dovrebbe contenere password e nomi utente di tutti gli utenti attivi e la dimensione del file dovrebbe essere di circa 200 KB. Un altro modo per verificare se gli hacker potrebbero aver sfruttato i difetti della VPN di un'azienda è quello di esaminare i log del firewall o i log di Netflow se un programma è stato configurato per registrarli. Per essere più precisi, gli specialisti consigliano di cercare sessioni TCP con 200,00-250.000 byte dalla porta dell'interfaccia web SSL VPN al client, che potrebbero fornire prove di sfruttamento.

palo Alto

Si consiglia alle organizzazioni che potrebbero aver utilizzato strumenti VPN senza patch di questa società di cercare arresti anomali nei registri del software. Apparentemente, i tentativi falliti di sfruttare questa VPN potrebbero essere visibili nei suoi registri ed è l'unica cosa che potrebbe aiutare a determinare se un sistema potrebbe essere compromesso.

Cosa fare se scopri che i tuoi difetti VPN sono stati sfruttati?

Gli specialisti della sicurezza informatica consigliano di revocare le credenziali di accesso a rischio e di ripristinare le credenziali di autenticazione. Successivamente, si consiglia alle vittime di verificare le opzioni di configurazione dell'applicazione violata e di cercare modifiche non autorizzate che, se rilevate, dovrebbero essere ripristinate. Come ulteriore precauzione, le aziende potrebbero abilitare l'autenticazione a due fattori e disabilitare eventuali porte o funzioni sulle VPN che non utilizzano o di cui non hanno bisogno. Naturalmente, sarebbe anche intelligente continuare a monitorare il traffico di rete e i registri VNP per attività sospette per prevenire ulteriori attacchi. Come ultima risorsa, gli esperti di sicurezza informatica suggeriscono di cancellare i dispositivi compromessi se un'azienda sospetta una violazione, ma non riesce a trovare prove di hacking e non vuole correre rischi.

Nel complesso, l'utilizzo di una VPN può ancora aiutare le aziende a proteggere i propri sistemi dai criminali informatici. Tuttavia, è essenziale assicurarsi che non vi siano difetti VPN, poiché è ciò che rende vulnerabile VPN. Pertanto, gli esperti di sicurezza informatica raccomandano di controllare regolarmente nuove patch e aggiornamenti. Prima vengono installati, minori sono le possibilità che gli hacker possano sfruttare i punti deboli senza patch. Probabilmente il modo più semplice per assicurarsi che i servizi VPN utilizzati dalla tua azienda siano sempre aggiornati è quello di impiegare un team IT che assicuri che la tua VPN, così come altri software, siano stati aggiornati e aggiornati in tempo. Per saperne di più sui difetti delle VPN aziendali, ti consigliamo di leggere qui .

December 11, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.