Uovertrufne VPN-feil kan hjelpe hackere til å angripe foretak, advare NSA og NCSC

Undersøkelser fra NSA (National Security Agency) og NCSC (National Cyber Security Center) avslørte at bestemte VPN-tjenester (Virtual Private Network) kan være under angrep fra nettkriminelle grupper kjent som APT ( Advanced Persistent Threat ). Imidlertid er det mulig at forskjellige hackerteam også kan være interessert i å angripe sårbare VPN-er. Som et resultat kan mange internasjonale selskaper som bruker slike tjenester være i fare, og det er derfor spesialister innen cybersikkerhet anbefaler å iverksette tiltak umiddelbart. I dette blogginnlegget diskuterer vi hvilke applikasjoner som er målrettet og hva som gjør VPN sårbar. Hvis du fortsetter å lese, kan du finne ut hva du bør gjøre hvis selskapet ditt bruker en av de sårbare VPN-tjenestene. Hvis du har spørsmål om de diskuterte VPN-feilene, kan vi tilby kommentarfeltet som du finner på slutten av denne siden.

Hva gjør VPN sårbar, og hvilke tjenester kan bli angrepet?

Pulse Secure , Fortinet og Palo Alto er selskapene som leverer VPN-tjenester, som er målrettet av APT-hackere. Det ble også lagt merke til at nettkriminelle er etter selskaper som jobber i følgende sektorer: myndigheter, militær, utdanning, næringsliv og helsevesen. Det er sannsynlig at deres mål er å få tilgang til organisasjoners systemer, for eksempel å skaffe sensitiv informasjon eller slippe skadelig programvare.

I følge NCSC er hackere klar over spesielle VPN-feil som de listede verktøyene har. VPN-verktøyet levert av Pulse Secure har to svakheter kalt CVE02019-11510 og CVE-2019-11539 , som kan tillate eksterne angripere å lese vilkårlige filer eller utføre kommandoer via admingrensesnittet . Fortinets VPN-produkt har tre feil som heter CVE-2018-13379 , CVE-2018-13382 og CVE-2018-13383 . Som du kan se, er de oppførte feilene ikke nye, siden de ble oppdaget tilbake i 2018. Det kan fremdeles være brukere som kanskje ikke har lappet dem enda.

En annen ting du bør vite om Fortinets VPN-feil er at de kan tillate angripere å lese vilkårlige filer, endre passord for brukere av SSL VPN-nettportaler og få shell kjørt på en ruter. Når det gjelder de som bruker Palo Alto-tjenestene, kan de være glade for å få vite at denne VPN-en bare har en feil som ATP-hackere kan være i stand til å utnytte. Det kalles CVE-2019-1579 , og det kan tillate angripere å utføre vilkårlig kode. Å utnytte vilkårlig kodeutførelse kan gjøre det mulig for angripere å få de samme rettighetene som en bruker av en målrettet applikasjon eller et system kan ha. For eksempel, hvis hackere utnytter en slik feil i VPN-programvaren, kan de kanskje endre innstillingene, se loggene eller gjøre noe annet som en bruker kan gjøre.

Hvordan bli kvitt VPN-feil?

VPN-feil kan løses på samme måte som andre programvaresvakheter. Når en sårbarhet blir kjent for et selskap som er ansvarlig for det, søker en organisasjon vanligvis etter en måte å fikse det på. Etter at en løsning er funnet, vises en oppdatering eller en oppdatering som brukerne av et produkt kan laste ned. Selv om noen verktøy informerer brukerne om svakheter og oppdateringer som kan brukes, må noen ganger finne ut om dem på egenhånd, for eksempel når de besøker et selskap.

Alle de seks VPN-feilene som ble funnet i Pulse Secure, Fortinet og Palo Alto-produktene ble oppdatert for en tid tilbake. Enten du har fått beskjed om nødvendige oppdateringer, men valgte å hoppe over å installere dem, eller om du ikke har hørt om disse oppdateringene ennå, anbefaler vi at du bruker dem så snart som mulig. I fremtiden bør du selvfølgelig alltid installere oppdateringer med en gang hvis du vil at enhetene og systemene dine skal være trygge.

Hvordan finner du ut om VPN-feilene dine kan ha blitt utnyttet?

Hvis VPN-applikasjonen din ikke har blitt lappet på ganske lang tid, anbefaler cybersecurity-spesialister å ta ekstra forholdsregler. Dette betyr at du ikke bare skal bruke oppdateringer som vil fikse VPN-feilene dine, men også undersøke aktiviteter relatert til VPN for å søke etter bevis på brudd. Nedenfor kan du se NCSC-tips om hvordan du finner bevis på kompromitterte VPN-er.

Pulse Connect

Organisasjoner som bruker dette selskapets VPN-tjenester anbefales å søke etter tilkoblinger til mistenkelige nettadresser. For å gjøre dette, anbefaler spesialister å sende en HTTPS- forespørsel til webgrensesnittet direkte og ikke gjennom VPN. Hvis slike aktiviteter vises i hendelseslogger, anbefales det å sjekke søkelogger for URL-adresser som inneholder spørsmålstegn og slutter med / dana / html5acc / guacamole . Spesialister anbefaler også å søke etter forespørsler til /dana-admin/diag/diag.cgi . Hvis slike data blir funnet og dateres før oppdateringer for svakhetene CVE02019-11510 og CVE-2019-11539 ble installert, er det mulig at et system kan bli kompromittert.

FortiGate

Det ser ut til at hackere som kan utnytte svakheten CVE-2018-13379, kan laste ned en fil som heter sslvpn_websession . Cybersecurity-eksperter sier at den burde inneholde passord og brukernavn for alle aktive brukere, og filens størrelse bør være omtrent 200 KB. En annen måte å sjekke om hackere kan ha utnyttet selskapets VPN-feil, er å undersøke brannmurlogger eller Netflow- logger hvis et program ble konfigurert til å registrere dem. For å være mer presise, anbefaler spesialister å lete etter TCP- økter med 200.00-250.000 byte fra SSL VPN webgrensesnittport til klienten, noe som kan gi bevis for utnyttelse.

Palo Alto

Organisasjoner som kan ha brukt upatchede VPN-verktøy fra dette selskapet, anbefales å se etter krasjer i programvareloggene. Angivelig mislykkede forsøk på å utnytte denne VPN-en kunne være synlige i loggene, og det er det eneste som kan hjelpe med å avgjøre om et system kan bli kompromittert.

Hva gjør du hvis du finner ut at VPN-feilene dine ble utnyttet?

Spesialister innen cybersikkerhet gir tilbakekall av påloggingsinformasjon som er i faresonen og tilbakestiller godkjenningsinformasjon. Deretter oppfordres ofrene til å sjekke brudd på applikasjonens konfigurasjonsalternativer og søke etter uautoriserte endringer som, hvis funnet, burde gjenopprettes. Som en ekstra forholdsregel kan selskaper aktivere tofaktorautentisering og deaktivere alle porter eller funksjoner på VPN-er som de ikke bruker eller trenger. Selvfølgelig vil det også være smart å fortsette å overvåke nettverkstrafikk og VNP-loggene for mistenkelige aktiviteter for å forhindre ytterligere angrep. Som en siste utvei foreslår eksperter på nett-sikkerhet å tørke av kompromitterte enheter hvis et selskap mistenker et brudd, men ikke kan finne bevis for hacking og ikke vil ta noen sjanser.

Totalt sett kan bruk av VPN fortsatt hjelpe bedrifter med å beskytte systemene sine mot nettkriminelle. Det er imidlertid viktig å sørge for at det ikke er noen VPN-feil, da det er det som gjør VPN sårbar. Derfor anbefaler cybersecurity-eksperter å sjekke for nye oppdateringer og oppdateringer regelmessig. Jo tidligere de er installert, desto mindre er sjansene for at hackere vil kunne utnytte uante svakheter. Sannsynligvis den enkleste måten å sikre at VPN-tjenestene som bedriften bruker, alltid er oppdatert er å ansette et IT-team som vil sikre at VPN-en din, så vel som annen programvare, ble oppdatert og oppdatert i tide. For å lære mer om manglene ved enterprise VPN-er, anbefaler vi å lese her .

December 11, 2019
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.