Neišparduoti VPN trūkumai gali padėti įsilaužėliams užpulti įmones, įspėti NSA ir NCSC
NSA (Nacionalinė saugumo agentūra) ir NCSC (Nacionalinis kibernetinio saugumo centras) atlikti tyrimai atskleidė, kad tam tikras VPN (virtualus privatus tinklas) paslaugas gali užpulti kibernetinės kriminalinės grupės, žinomos kaip APT ( Advanced Persistent Threat ). Tačiau įmanoma, kad skirtingos įsilaužėlių komandos taip pat gali būti suinteresuotos pulti pažeidžiamus VPT. Dėl to daugeliui tarptautinių kompanijų, kurios naudojasi tokiomis paslaugomis, gali iškilti pavojus, todėl kibernetinio saugumo specialistai rekomenduoja nedelsiant imtis veiksmų. Šiame tinklaraščio įraše aptariame, kurioms taikomosioms programoms ir kas daro VPN pažeidžiamus. Be to, jei tęsite skaitymą, galite sužinoti, ką turėtumėte daryti, jei jūsų įmonė naudojasi viena iš pažeidžiamų VPN paslaugų. Jei turite klausimų apie aptariamus VPN trūkumus, galime pasiūlyti mūsų komentarų skyrių, kurį galite rasti šio puslapio pabaigoje.
Table of Contents
Kas daro VPN pažeidžiamą ir kurios paslaugos gali būti užpultos?
„Pulse Secure“ , „ Fortinet“ ir „ Palo Alto“ yra įmonės, teikiančios VPT paslaugas, į kurias nukreipti APT įsilaužėliai. Taip pat pastebėta, kad kibernetiniai nusikaltėliai seka įmones, dirbančias šiuose sektoriuose: vyriausybės, kariuomenės, švietimo, verslo ir sveikatos priežiūros. Tikėtina, kad jų tikslas yra patekti į organizacijų sistemas, pavyzdžiui, gauti neskelbtiną informaciją arba atsisakyti kenkėjiškos programinės įrangos.
Anot NCSC , įsilaužėliai žino apie konkrečius VPN trūkumus, kuriuos turi išvardytos priemonės. „Pulse Secure“ pateiktas VPN įrankis turi du trūkumus, vadinamus CVE02019-11510 ir CVE-2019-11539 , kurie nuotoliniams užpuolikams gali leisti perskaityti savavališkus failus arba vykdyti komandas per administratoriaus sąsają. „Fortinet“ VPN produktas turi tris trūkumus, vadinamus CVE-2018-13379 , CVE-2018-13382 ir CVE-2018-13383 . Kaip matote, išvardyti trūkumai nėra naujiena, nes jie buvo atrasti 2018 m. Vis dėlto gali būti vartotojų, kurie jų dar nepataisė.
Kitas dalykas, kurį turėtumėte žinoti apie „Fortinet“ VPN trūkumus, yra tai, kad jie gali leisti užpuolikams skaityti savavališkus failus, pakeisti SSL VPN interneto portalo vartotojų slaptažodžius ir gauti apvalkalo veikimą maršrutizatoriuje. Tiems, kurie naudojasi „Palo Alto“ paslaugomis, jiems gali būti malonu sužinoti, kad šis VPT turi tik vieną trūkumą, kurį ATP įsilaužėliai gali sugebėti išnaudoti. Jis vadinamas CVE-2019-1579 ir gali leisti užpuolikams vykdyti savavališką kodą. Naudojant savavališką kodo vykdymą, užpuolikai gali įgyti tas pačias privilegijas, kurias gali turėti tikslinės programos ar sistemos vartotojas. Pvz., Jei įsilaužėliai išnaudoja tokią VPN programinės įrangos spragą, jie gali pakeisti jos nustatymus, peržiūrėti žurnalus ar padaryti ką nors kita, ką vartotojas galėtų padaryti.
Kaip atsikratyti VPN trūkumų?
VPN trūkumus galima pašalinti taip pat, kaip ir kitus programinės įrangos trūkumus. Paprastai, kai apie pažeidžiamumą sužino už ją atsakinga įmonė, organizacija ieško būdo, kaip ją pašalinti. Suradus sprendimą, pasirodo pataisymas arba atnaujinimas, kurį produkto vartotojai gali atsisiųsti. Nors kai kurie įrankiai informuoja vartotojus apie trūkumus ir pataisas, kuriuos galima pritaikyti, kartais vartotojai apie juos turi sužinoti patys, pavyzdžiui, apsilankę įmonės svetainėje.
Visi šeši VPN trūkumai, rasti „Pulse Secure“, „Fortinet“ ir „Palo Alto“ produktuose, buvo ištaisyti prieš kurį laiką. Nesvarbu, ar jums buvo pranešta apie būtinus pataisymus, bet nusprendėte jų praleisti diegdami, ar dar negirdėjote apie šiuos pataisymus, labai rekomenduojame juos pritaikyti kuo greičiau. Žinoma, ateityje visada turėtumėte įdiegti atnaujinimus iš karto, jei norite, kad jūsų įrenginiai ir sistemos būtų saugūs.
Kaip nustatyti, ar jūsų VPN trūkumai galėjo būti išnaudoti?
Jei jūsų VPN programa nebuvo pataisyta ilgą laiką, kibernetinio saugumo specialistai rekomenduoja imtis papildomų atsargumo priemonių. Reiškia, jūs turėtumėte ne tik pritaikyti pataisas, kurios pašalintų jūsų VPN trūkumus, bet ir ištirti su VPN susijusią veiklą, kad ieškotumėte pažeidimo įrodymų. Žemiau galite pamatyti NCSC patarimus, kaip rasti pažeistų VPN įrodymus.
„Pulse Connect“
Organizacijoms, kurios naudojasi šios įmonės VPN paslaugomis, patariama ieškoti ryšio su įtartinais URL. Norėdami tai padaryti, specialistai rekomenduoja pateikti HTTPS užklausą į interneto sąsają tiesiogiai, o ne per VPN. Jei tokia veikla atsiranda įvykių žurnaluose, patartina patikrinti URL adresus, kuriuose yra klaustukų ir kurie baigiasi / dana / html5acc / guacamole . Taip pat specialistai rekomenduoja ieškoti užklausų tinklalapyje /dana-admin/diag/diag.cgi . Jei tokių duomenų randama ir jie praeina anksčiau nei nebuvo įdiegti CVE02019-11510 ir CVE-2019-11539 trūkumų pataisymai, gali būti, kad sistema gali būti pažeista.
Fortigate
Atrodo, kad įsilaužėliai, kurie gali išnaudoti CVE-2018-13379 trūkumą, galėjo atsisiųsti failą, vadinamą sslvpn_websession . Kibernetinio saugumo ekspertai sako, kad jame turėtų būti visų aktyvių vartotojų slaptažodžiai ir vartotojo vardai, o failo dydis turėtų būti apie 200 KB. Kitas būdas patikrinti, ar įsilaužėliai galėjo išnaudoti įmonės VPN trūkumus, yra ištirti ugniasienės arba „ Netflow“ žurnalus, jei programa buvo sukonfigūruota juos įrašyti. Tiksliau tariant, specialistai pataria klientui ieškoti TCP seansų su 200.00–250.000 baitų iš SSL VPN žiniatinklio sąsajos prievado, kurie galėtų pateikti naudojimo įrodymus.
Palo Alto
Organizacijoms, kurios galbūt naudojo neišparduotus šios įmonės VPN įrankius, patariama ieškoti gedimų programinės įrangos žurnaluose. Matyt, nesėkmingi bandymai išnaudoti šį VPN galėjo būti matomi jo žurnaluose, ir tai yra vienintelis dalykas, kuris gali padėti nustatyti, ar sistemai gali iškilti pavojus.
Ką daryti, jei sužinojote, kad jūsų VPN trūkumai buvo išnaudoti?
Kibernetinio saugumo specialistai pataria panaikinti prisijungimo duomenis, kuriems kyla pavojus, ir iš naujo nustatyti autentifikavimo kredencialus. Tada aukoms patariama patikrinti pažeistas programos konfigūravimo parinktis ir ieškoti neteisėtų pakeitimų, kuriuos, jei jie būtų rasti, reikėtų atkurti. Kaip papildomą atsargumo priemonę įmonės galėtų įjungti dviejų veiksnių autentifikavimą ir išjungti bet kokius prievadus ar funkcijas jų VPN, kurių jos nenaudoja ar nereikia. Be abejo, būtų protinga ir toliau stebėti tinklo srautą ir VNP žurnalus, kuriuose rodoma įtartina veikla, kad būtų išvengta tolesnių išpuolių. Kaip paskutinę išeitį, kibernetinio saugumo ekspertai siūlo nušluoti pažeistus įrenginius, jei įmonė įtaria pažeidimą, tačiau negali rasti įsilaužimo įrodymų ir nenori rizikuoti.
Apskritai, naudojant VPN vis dar galima padėti įmonėms apsaugoti savo sistemas nuo elektroninių nusikaltėlių. Tačiau labai svarbu įsitikinti, kad nėra VPN trūkumų, nes būtent tai daro VPN pažeidžiamus. Todėl kibernetinio saugumo ekspertai rekomenduoja reguliariai tikrinti, ar nėra naujų pataisų ir atnaujinimų. Kuo anksčiau jie bus įdiegti, tuo mažesnė tikimybė, kad įsilaužėliai galės išnaudoti neišvardytus trūkumus. Tikriausiai paprasčiausias būdas įsitikinti, kad jūsų įmonės naudojamos VPN paslaugos visada yra atnaujintos, yra pasamdyti IT komandą, kuri užtikrintų, kad jūsų VPN, kaip ir kita programinė įranga, būtų laiku pataisyti ir atnaujinti. Norėdami sužinoti daugiau apie įmonių VPT trūkumus, rekomenduojame perskaityti čia .
