Niepoprawne wady VPN mogą pomóc hakerom atakować przedsiębiorstwa, ostrzegać NSA i NCSC

Badania przeprowadzone przez NSA (National Security Agency) i NCSC (National Cyber Security Center) wykazały, że niektóre usługi VPN (Virtual Private Network) mogą być atakowane przez grupy cyberprzestępcze znane jako APT ( Advanced Persistent Threat ). Możliwe jest jednak, że różne zespoły hakerów również będą zainteresowane atakowaniem wrażliwych sieci VPN. W rezultacie wiele międzynarodowych firm korzystających z takich usług może być zagrożonych, dlatego specjaliści od cyberbezpieczeństwa zalecają podjęcie natychmiastowych działań. W tym poście na blogu omawiamy, które aplikacje są celowane i co sprawia, że VPN jest podatny na ataki. Ponadto, jeśli będziesz czytać dalej, możesz dowiedzieć się, co powinieneś zrobić, jeśli Twoja firma korzysta z jednej z wrażliwych usług VPN. Jeśli masz jakieś pytania dotyczące omawianych wad VPN, możemy zaoferować sekcję komentarzy, która znajduje się na końcu tej strony.

Co sprawia, że VPN jest podatna na atak i które usługi mogą być atakowane?

Pulse Secure , Fortinet i Palo Alto to firmy świadczące usługi VPN, na które atakują hakerzy APT. Zauważono również, że cyberprzestępcy poszukują firm działających w następujących sektorach: rządowym, wojskowym, edukacyjnym, biznesowym i opieki zdrowotnej. Prawdopodobnie ich celem jest uzyskanie dostępu do systemów organizacji, na przykład w celu uzyskania poufnych informacji lub usunięcia złośliwego oprogramowania.

Według NCSC hakerzy zdają sobie sprawę z określonych wad VPN, które mają wymienione narzędzia. Narzędzie VPN dostarczone przez Pulse Secure ma dwie słabości zwane CVE02019-11510 i CVE-2019-11539 , które mogą pozwolić zdalnym atakującym na odczyt dowolnych plików lub wykonywanie poleceń za pośrednictwem interfejsu administratora. Produkt VPN Fortinet ma trzy wady o nazwie CVE-2018-13379 , CVE-2018-13382 i CVE-2018-13383 . Jak widać, wymienione wady nie są nowe, ponieważ zostały odkryte w 2018 roku. Mimo to mogą istnieć użytkownicy, którzy jeszcze ich nie załatali.

Kolejną rzeczą, którą powinieneś wiedzieć o wadach VPN Fortinet, jest to, że mogą one pozwolić atakującym na odczyt dowolnych plików, zmianę haseł użytkowników portalu internetowego SSL VPN i uruchomienie powłoki na routerze. Jeśli chodzi o osoby korzystające z usług Palo Alto, mogą z przyjemnością dowiedzieć się, że ta VPN ma tylko jedną wadę, którą hakerzy ATP mogą wykorzystać. Nazywa się CVE-2019-1579 i może pozwolić atakującym na wykonanie dowolnego kodu. Wykorzystanie wykonania dowolnego kodu może umożliwić atakującym uzyskanie takich samych uprawnień, jakie może mieć użytkownik docelowej aplikacji lub systemu. Na przykład, jeśli hakerzy wykorzystają taką lukę w oprogramowaniu VPN, mogą być w stanie zmienić jego ustawienia, przeglądać dzienniki lub robić cokolwiek innego, co użytkownik może zrobić.

Jak pozbyć się wad VPN?

Wady VPN można rozwiązać w taki sam sposób, jak wszelkie inne słabości oprogramowania. Zazwyczaj po ujawnieniu luki przez odpowiedzialną za nią firmę organizacja szuka sposobu na jej usunięcie. Po znalezieniu rozwiązania pojawi się łatka lub aktualizacja, którą użytkownicy produktu mogą pobrać. Podczas gdy niektóre narzędzia informują użytkowników o słabościach i łatach, które można zastosować, czasem użytkownicy muszą się o nich dowiedzieć samodzielnie, na przykład odwiedzając witrynę firmy.

Wszystkie sześć wad VPN znalezionych w produktach Pulse Secure, Fortinet i Palo Alto zostało załatanych jakiś czas temu. Bez względu na to, czy otrzymałeś powiadomienie o niezbędnych poprawkach, ale zdecydowałeś się pominąć ich instalację, czy też nie słyszałeś o tych poprawkach, zalecamy ich jak najszybsze zastosowanie. Oczywiście w przyszłości zawsze powinieneś zawsze instalować aktualizacje, jeśli chcesz, aby urządzenia i systemy były bezpieczne.

Jak ustalić, czy wady VPN mogły zostać wykorzystane?

Jeśli Twoja aplikacja VPN nie została załatana przez dłuższy czas, specjaliści od cyberbezpieczeństwa zalecają podjęcie dodatkowych środków ostrożności. Oznacza to, że powinieneś nie tylko stosować łaty, które naprawią błędy VPN, ale także badać działania związane z VPN, aby znaleźć dowód naruszenia. Poniżej znajdują się wskazówki NCSC, jak znaleźć dowody na naruszenie bezpieczeństwa VPN.

Pulse Connect

Organizacje korzystające z usług VPN tej firmy powinny szukać połączeń z podejrzanymi adresami URL. W tym celu specjaliści zalecają przesyłanie żądania HTTPS bezpośrednio do interfejsu internetowego, a nie za pośrednictwem sieci VPN. Jeśli takie działania pojawiają się w dziennikach zdarzeń, zaleca się sprawdzenie dzienników wyszukiwania dla adresów URL zawierających znaki zapytania i kończących się na / dana / html5acc / guacamole . Ponadto specjaliści zalecają wyszukiwanie zapytań do /dana-admin/diag/diag.cgi . Jeśli takie dane zostaną znalezione i datują się, zanim zostaną zainstalowane łaty do słabych punktów CVE02019-11510 i CVE-2019-11539, możliwe jest, że system będzie zagrożony.

Fortiate

Wygląda na to, że hakerzy wykorzystujący słabość CVE-2018-13379 mogą pobrać plik o nazwie sslvpn_websession . Eksperci od cyberbezpieczeństwa twierdzą, że powinien on zawierać hasła i nazwy użytkowników wszystkich aktywnych użytkowników, a rozmiar pliku powinien wynosić około 200 KB. Innym sposobem sprawdzenia, czy hakerzy mogli wykorzystać błędy VPN firmy, jest sprawdzenie dzienników zapory lub dzienników Netflow, jeśli program został skonfigurowany do ich rejestrowania. Mówiąc ściślej, specjaliści doradzają poszukiwanie sesji TCP z 200.00-250.000 bajtów z portu interfejsu sieciowego SSL VPN do klienta, które mogłyby dostarczyć dowodów na wykorzystanie.

Palo Alto

Organizacjom, które mogły korzystać z niezałatanych narzędzi VPN tej firmy, zaleca się wyszukiwanie awarii w dziennikach oprogramowania. Najwyraźniej nieudane próby wykorzystania tej sieci VPN mogą być widoczne w jej dziennikach i jest to jedyna rzecz, która może pomóc w określeniu, czy system może zostać naruszony.

Co zrobić, jeśli dowiesz się, że twoje wady VPN zostały wykorzystane?

Specjaliści od cyberbezpieczeństwa zalecają wycofanie danych logowania na ryzyko i zresetowanie danych uwierzytelniających. Następnie ofiarom zaleca się sprawdzenie opcji konfiguracji aplikacji, której dotyczy naruszenie, i poszukiwanie nieautoryzowanych zmian, które, jeśli zostaną znalezione, powinny zostać przywrócone. Jako dodatkowy środek ostrożności firmy mogą włączyć uwierzytelnianie dwuskładnikowe i wyłączyć wszelkie porty lub funkcje w swoich sieciach VPN, z których nie korzystają ani nie potrzebują. Oczywiście mądrze byłoby również kontynuować monitorowanie ruchu sieciowego i dzienników VNP pod kątem podejrzanych działań, aby zapobiec dalszym atakom. W ostateczności eksperci ds. Cyberbezpieczeństwa sugerują wymazywanie zainfekowanych urządzeń, jeśli firma podejrzewa naruszenie, ale nie może znaleźć dowodów na włamanie i nie chce ryzykować.

Ogólnie rzecz biorąc, korzystanie z VPN nadal może pomóc przedsiębiorstwom chronić swoje systemy przed cyberprzestępcami. Jednak ważne jest, aby upewnić się, że nie ma wad VPN, ponieważ to sprawia, że VPN jest podatny na ataki. Dlatego eksperci ds. Cyberbezpieczeństwa zalecają regularne sprawdzanie nowych poprawek i aktualizacji. Im szybciej zostaną zainstalowane, tym mniejsze są szanse, że hakerzy będą w stanie wykorzystać niezałatane słabości. Prawdopodobnie najłatwiejszym sposobem upewnienia się, że usługi VPN, z których korzysta Twoja firma, są zawsze aktualne, jest zatrudnienie zespołu IT, który dopilnuje, aby Twoja VPN, a także inne oprogramowanie, zostały załatane i zaktualizowane na czas. Aby dowiedzieć się więcej o wadach korporacyjnych sieci VPN, zalecamy przeczytanie tutaj .

December 11, 2019
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.