Falhas de VPN não corrigidas podem ajudar hackers a atacar empresas, avisar a NSA e a NCSC

Investigações da NSA (Agência de Segurança Nacional) e NCSC (Centro Nacional de Segurança Cibernética) revelaram que determinados serviços de VPN (Rede Privada Virtual) podem estar sob ataque de grupos de cibercriminosos conhecidos como APT ( Ameaça Persistente Avançada ). No entanto, é possível que diferentes equipes de hackers também estejam interessadas em atacar VPNs vulneráveis. Como resultado, muitas empresas internacionais que usam esses serviços podem estar em perigo, e é por isso que os especialistas em segurança cibernética recomendam a ação imediata. Nesta postagem do blog, discutimos quais aplicativos são direcionados e o que torna a VPN vulnerável. Além disso, se você continuar lendo, poderá descobrir o que deve fazer se sua empresa estiver usando um dos serviços VPN vulneráveis. Se você tiver alguma dúvida sobre as falhas de VPN discutidas, podemos oferecer nossa seção de comentários, que pode ser encontrada no final desta página.

O que torna a VPN vulnerável e quais serviços podem estar sob ataque?

Pulse Secure , Fortinet e Palo Alto são as empresas que fornecem serviços de VPN, direcionados por hackers da APT. Além disso, percebeu-se que os cibercriminosos estão atrás de empresas que trabalham nos seguintes setores: governo, militar, educação, negócios e saúde. É provável que seu objetivo seja obter acesso aos sistemas das organizações, por exemplo, para obter informações confidenciais ou descartar software malicioso.

Segundo o NCSC , os hackers estão cientes de falhas específicas da VPN que as ferramentas listadas possuem. A ferramenta VPN fornecida pelo Pulse Secure possui dois pontos fracos, chamados CVE02019-11510 e CVE-2019-11539 , que podem permitir que atacantes remotos leiam arquivos arbitrários ou executem comandos pela interface administrativa. O produto VPN da Fortinet possui três falhas chamadas CVE-2018-13379 , CVE-2018-13382 e CVE-2018-13383 . Como você pode ver, as falhas listadas não são novas, pois foram descobertas em 2018. Ainda assim, pode haver usuários que talvez ainda não as tenham corrigido.

Outra coisa que você deve saber sobre as falhas de VPN da Fortinet é que elas podem permitir que os invasores leiam arquivos arbitrários, alterem senhas de usuários do portal da VPN SSL e façam o shell rodar em um roteador. Quanto aos que usam os serviços de Palo Alto, podem ficar satisfeitos ao saber que esta VPN tem apenas uma falha que os hackers da ATP podem explorar. É chamado CVE-2019-1579 e pode permitir que invasores executem código arbitrário. Explorar a execução arbitrária de códigos pode permitir que os invasores obtenham os mesmos privilégios que um usuário de um aplicativo ou sistema de destino. Por exemplo, se os hackers explorarem essa falha no software VPN, eles poderão alterar suas configurações, exibir logs ou fazer qualquer outra coisa que um usuário possa fazer.

Como se livrar de falhas de VPN?

As falhas da VPN podem ser resolvidas da mesma maneira que qualquer outro ponto fraco do software. Geralmente, uma vez que uma vulnerabilidade é conhecida por uma empresa responsável por ela, uma organização procura uma maneira de corrigi-la. Depois que uma solução é encontrada, aparece um patch ou uma atualização que os usuários de um produto podem baixar. Embora algumas ferramentas informem os usuários sobre os pontos fracos e os patches que podem ser aplicados, às vezes os usuários precisam descobrir sobre eles sozinhos, por exemplo, enquanto visitam o site de uma empresa.

Todas as seis falhas de VPN encontradas nos produtos Pulse Secure, Fortinet e Palo Alto foram corrigidas há algum tempo. Se você foi notificado sobre os patches necessários, mas optou por pular a instalação deles ou se ainda não ouviu falar deles, é altamente recomendável aplicá-los o mais rápido possível. Obviamente, no futuro, você sempre deve instalar atualizações imediatamente se quiser que seus dispositivos e sistemas estejam seguros.

Como determinar se suas falhas de VPN podem ter sido exploradas?

Se o seu aplicativo VPN não for corrigido há algum tempo, os especialistas em segurança cibernética recomendam tomar precauções extras. Isso significa que você não deve aplicar apenas patches que corrigissem suas falhas na VPN, mas também investigar atividades relacionadas à sua VPN para procurar a prova de uma violação. Abaixo, você pode ver dicas do NCSC sobre como encontrar evidências de VPNs comprometidas.

Pulse Connect

As organizações que usam os serviços de VPN dessa empresa são aconselhadas a procurar conexões com URLs suspeitos. Para isso, os especialistas recomendam fazer uma solicitação HTTPS à interface da Web diretamente e não através da VPN. Se tais atividades aparecerem nos logs de eventos, é recomendável verificar os logs de pesquisa nos endereços URL que contêm pontos de interrogação e terminam com / dana / html5acc / guacamole . Além disso, os especialistas recomendam procurar solicitações para /dana-admin/diag/diag.cgi . Se esses dados forem encontrados e datados antes da instalação dos patches para os pontos fracos CVE02019-11510 e CVE-2019-11539, é possível que um sistema possa estar comprometido.

Fortigar

Parece que os hackers que podem estar explorando a fraqueza do CVE-2018-13379 podem baixar um arquivo chamado sslvpn_websession . Os especialistas em segurança cibernética dizem que ele deve conter senhas e nomes de usuários de todos os usuários ativos, e o tamanho do arquivo deve ser de aproximadamente 200 KB. Outra maneira de verificar se os hackers podem ter explorado as falhas de VPN de uma empresa é investigar os logs do firewall ou do Netflow, se um programa foi configurado para registrá-los. Para ser mais preciso, os especialistas aconselham a procurar sessões TCP com 200.00-250.000 bytes da porta da interface da Web SSL VPN para o cliente, o que poderia fornecer evidências de exploração.

Palo Alto

As organizações que possam ter usado ferramentas VPN sem patch desta empresa são aconselhadas a procurar falhas nos logs do software. Aparentemente, tentativas fracassadas de explorar essa VPN podem ser visíveis em seus logs, e é a única coisa que pode ajudar a determinar se um sistema pode ser comprometido.

O que fazer se você descobrir que suas falhas de VPN foram exploradas?

Os especialistas em segurança cibernética aconselham a revogação de credenciais de login em risco e a redefinição de credenciais de autenticação. Em seguida, as vítimas são aconselhadas a verificar as opções de configuração do aplicativo violado e a procurar alterações não autorizadas que, se encontradas, devem ser restauradas. Como precaução extra, as empresas podem habilitar a autenticação de dois fatores e desativar as portas ou funções em suas VPNs que não usam ou precisam. Obviamente, também seria inteligente continuar monitorando o tráfego da rede e o VNP registra atividades suspeitas para evitar novos ataques. Como último recurso, os especialistas em segurança cibernética sugerem a limpeza de dispositivos comprometidos se uma empresa suspeitar de uma violação, mas não encontrar evidências de hackers e não quiser correr riscos.

No geral, o uso de uma VPN ainda pode ajudar as empresas a proteger seus sistemas contra cibercriminosos. No entanto, é essencial garantir que não haja falhas na VPN, pois é isso que torna a VPN vulnerável. Portanto, os especialistas em segurança cibernética recomendam a verificação de novos patches e atualizações regularmente. Quanto mais cedo eles forem instalados, menores serão as chances de que os hackers possam explorar pontos fracos não corrigidos. Provavelmente, a maneira mais fácil de garantir que os serviços VPN usados por sua empresa estejam sempre atualizados é empregar uma equipe de TI que garanta que sua VPN e outros softwares sejam corrigidos e atualizados a tempo. Para saber mais sobre as falhas das VPNs corporativas, recomendamos a leitura aqui .

December 11, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.