Непатентованные недостатки VPN могут помочь хакерам атаковать предприятия, предупредить NSA и NCSC
Расследования NSA (Агентство национальной безопасности) и NCSC (Национальный центр кибербезопасности) показали, что определенные службы VPN (виртуальная частная сеть) могут подвергаться атакам со стороны киберпреступных групп, известных как APT ( Advanced Persistent Threat ). Однако возможно, что различные хакерские команды могут быть заинтересованы в атаке на уязвимые VPN. В результате многие международные компании, использующие такие сервисы, могут оказаться в опасности, поэтому специалисты по кибербезопасности рекомендуют принять немедленные меры. В этом посте мы обсуждаем, какие приложения нацелены и что делает VPN уязвимым. Кроме того, если вы продолжите чтение, вы можете узнать, что вам следует делать, если ваша компания использует одну из уязвимых служб VPN. Если у вас есть какие-либо вопросы по поводу обсуждаемых недостатков VPN, мы можем предложить наш раздел комментариев, который можно найти в конце этой страницы.
Table of Contents
Что делает VPN уязвимым и какие сервисы могут быть атакованы?
Pulse Secure , Fortinet и Palo Alto - это компании, предоставляющие VPN-сервисы, предназначенные для хакеров APT. Кроме того, было отмечено, что киберпреступники преследуют компании, работающие в следующих секторах: правительство, вооруженные силы, образование, бизнес и здравоохранение. Вероятно, их целью является получение доступа к системам организаций, например, для получения конфиденциальной информации или удаления вредоносного программного обеспечения.
Согласно NCSC , хакеры знают о конкретных недостатках VPN, которые есть в перечисленных инструментах. У инструмента VPN, предоставляемого Pulse Secure, есть два недостатка: CVE02019-11510 и CVE-2019-11539 , которые могут позволить удаленным злоумышленникам читать произвольные файлы или выполнять команды через интерфейс администратора. VPN-продукт Fortinet имеет три недостатка: CVE-2018-13379 , CVE-2018-13382 и CVE-2018-13383 . Как видите, перечисленные недостатки не новы, так как они были обнаружены еще в 2018 году. Тем не менее, могут существовать пользователи, которые, возможно, еще не исправили их.
Еще одна вещь, которую вы должны знать о недостатках VPN в Fortinet, заключается в том, что они могут позволить злоумышленникам читать произвольные файлы, изменять пароли пользователей веб-портала SSL VPN и запускать оболочку на маршрутизаторе. Что касается тех, кто пользуется услугами Palo Alto, им может быть приятно узнать, что у этой VPN есть только один недостаток, который хакеры ATP могут использовать. Он называется CVE-2019-1579 и может позволить злоумышленникам выполнить произвольный код. Использование произвольного выполнения кода может позволить злоумышленникам получить те же привилегии, которые могут иметь пользователь целевого приложения или система. Например, если хакеры используют такой недостаток в программном обеспечении VPN, они могут изменить его настройки, просмотреть журналы или сделать что-либо еще, что может сделать пользователь.
Как избавиться от недостатков VPN?
Недостатки VPN могут быть устранены так же, как и любые другие недостатки программного обеспечения. Обычно, как только уязвимость становится известна ответственной за нее компании, организация ищет способ ее устранения. После того, как решение найдено, появляется исправление или обновление, которое пользователи продукта могут загрузить. Хотя некоторые инструменты информируют пользователей о слабых сторонах и исправлениях, которые могут быть применены, иногда пользователям приходится узнавать о них самостоятельно, например, при посещении веб-сайта компании.
Все шесть недостатков VPN, обнаруженных в продуктах Pulse Secure, Fortinet и Palo Alto, были исправлены некоторое время назад. Если вы были уведомлены о необходимых исправлениях, но решили пропустить их установку, или вы еще не слышали об этих исправлениях, мы настоятельно рекомендуем применить их как можно скорее. Конечно, в будущем вы всегда должны устанавливать обновления сразу, если хотите, чтобы ваши устройства и системы были в безопасности.
Как определить, могли ли ваши недостатки VPN быть использованы?
Если ваше VPN-приложение не было исправлено в течение достаточно долгого времени, специалисты по кибербезопасности рекомендуют принять дополнительные меры предосторожности. Это означает, что вы должны не только устанавливать исправления, которые бы исправили ваши недостатки VPN, но и расследовать действия, связанные с вашей VPN, для поиска доказательств нарушения. Ниже вы можете увидеть советы NCSC о том, как найти доказательства взломанных VPN.
Импульсное соединение
Организациям, которые используют VPN-сервисы этой компании, рекомендуется искать соединения с подозрительными URL-адресами. Для этого специалисты рекомендуют делать HTTPS- запрос напрямую к веб-интерфейсу, а не через VPN. Если такие действия появляются в журналах событий, рекомендуется проверить в журналах поиска URL-адреса, содержащие вопросительные знаки и заканчивающиеся на / dana / html5acc / guacamole . Также специалисты рекомендуют искать запросы к /dana-admin/diag/diag.cgi . Если такие данные найдены и датируются до установки исправлений для уязвимостей CVE02019-11510 и CVE-2019-11539, возможно, система может быть взломана.
Fortigate
Похоже, что хакеры, которые могут использовать уязвимость CVE-2018-13379, могут загрузить файл с именем sslvpn_websession . Эксперты по кибербезопасности говорят, что он должен содержать пароли и имена всех активных пользователей, а размер файла должен составлять около 200 КБ. Другой способ проверить, могли ли хакеры использовать недостатки VPN компании, - это изучить журналы брандмауэра или журналы Netflow, если программа была настроена на их запись. Чтобы быть более точным, специалисты советуют искать сеансы TCP с 200.00-250.000 байтов от порта веб-интерфейса SSL VPN к клиенту, которые могут предоставить доказательства эксплуатации.
Пало-Альто
Организациям, которые могли использовать непатентованные инструменты VPN от этой компании, рекомендуется искать сбои в журналах программного обеспечения. Очевидно, неудачные попытки использовать эту VPN могут быть видны в ее журналах, и это единственное, что может помочь определить, может ли система быть взломана.
Что делать, если вы обнаружите, что ваши недостатки VPN были использованы?
Специалисты по кибербезопасности советуют отзывать учетные данные для входа в группу риска и сбрасывать учетные данные для аутентификации. Затем жертвам рекомендуется проверить параметры конфигурации нарушенного приложения и выполнить поиск несанкционированных изменений, которые в случае их обнаружения должны быть восстановлены. В качестве дополнительной меры предосторожности компании могут включить двухфакторную аутентификацию и отключить любые порты или функции в своих VPN, которые они не используют или не нуждаются. Конечно, было бы разумно продолжать отслеживать сетевой трафик и протоколы VNP для подозрительных действий, чтобы предотвратить дальнейшие атаки. В качестве последнего средства эксперты по кибербезопасности предлагают стереть скомпрометированные устройства, если компания подозревает нарушение, но не может найти доказательств взлома и не хочет рисковать.
В целом, использование VPN может помочь предприятиям защитить свои системы от киберпреступников. Однако важно убедиться, что нет недостатков VPN, поскольку именно это делает VPN уязвимым. Поэтому эксперты по кибербезопасности рекомендуют регулярно проверять наличие новых исправлений и обновлений. Чем раньше они будут установлены, тем меньше шансов, что хакеры смогут использовать уязвимые места. Вероятно, самый простой способ убедиться, что сервисы VPN, которые использует ваша компания, всегда актуальны, это нанять команду ИТ-специалистов, которая обеспечит своевременное обновление и обновление вашей VPN, а также другого программного обеспечения. Чтобы узнать больше о недостатках корпоративных VPN, мы рекомендуем прочитать здесь .
