Oöverträffade VPN-brister kan hjälpa hackare att attackera företag, varna NSA och NCSC
Undersökningar av NSA (National Security Agency) och NCSC (National Cyber Security Center) avslöjade att vissa VPN-tjänster (Virtual Private Network) kan komma att attackeras från cyberkriminella grupper kända som APT ( Advanced Persistent Threat ). Det är dock möjligt att olika hackarteam också kan vara intresserade av att attackera sårbara VPN: er. Som ett resultat kan många internationella företag som använder sådana tjänster vara i fara, varför specialister inom cybersäkerhet rekommenderar att vidta omedelbara åtgärder. I detta blogginlägg diskuterar vi vilka applikationer som är inriktade och vad som gör VPN sårbara. Om du fortsätter att läsa kan du också ta reda på vad du ska göra om ditt företag använder en av de sårbara VPN-tjänsterna. Om du har några frågor om de diskuterade VPN-bristerna, kan vi erbjuda vårt kommentaravsnitt som kan hittas i slutet av denna sida.
Table of Contents
Vad gör VPN sårbar, och vilka tjänster kan bli attackerade?
Pulse Secure , Fortinet och Palo Alto är de företag som tillhandahåller VPN-tjänster som är riktade av APT-hackare. Det noterades också att cyberbrottslingar följer företag som arbetar inom följande sektorer: regering, militär, utbildning, företag och sjukvård. Det är troligt att deras mål är att få tillgång till organisationens system, till exempel att få känslig information eller släppa skadlig programvara.
Enligt NCSC är hackare medvetna om särskilda VPN-brister som de listade verktygen har. VPN-verktyget som tillhandahålls av Pulse Secure har två svagheter som kallas CVE02019-11510 och CVE-2019-11539 , vilket kan göra det möjligt för fjärrangripare att läsa godtyckliga filer eller köra kommandon via admingränssnittet. Fortinet VPN-produkt har tre brister som heter CVE-2018-13379 , CVE-2018-13382 och CVE-2018-13383 . Som ni ser är de angivna bristerna inte nya eftersom de upptäcktes redan 2018. Det kan fortfarande finnas användare som kanske inte har korrigerat dem ännu.
En annan sak som du borde veta om Fortinet VPN-brister är att de kan tillåta angripare att läsa godtyckliga filer, ändra lösenord för användare av SSL VPN-webbportaler och få skal som körs på en router. När det gäller de som använder Palo Alto-tjänsterna kanske de är glada över att få veta att denna VPN bara har en fel som ATP-hackarna kanske kan utnyttja. Det kallas CVE-2019-1579 , och det kan tillåta angripare att köra godtycklig kod. Att använda godtycklig exekvering av kod kan göra det möjligt för angripare att få samma privilegier som en användare av en riktad applikation eller ett system kan ha. Till exempel, om hackare utnyttjar en sådan brist i VPN-programvaran, kan de kunna ändra dess inställningar, visa loggar eller göra något annat som en användare kan göra.
Hur kan du bli av med VPN-brister?
VPN-brister kan lösas på samma sätt som andra programvarusvagheter. När en sårbarhet blir känd för ett företag som ansvarar för det söker en organisation vanligtvis efter ett sätt att fixa det. När en lösning har hittats visas en patch eller en uppdatering som en produkts användare kan ladda ner. Medan vissa verktyg informerar användare om svagheter och korrigeringar som kan tillämpas, måste användare ibland ta reda på dem på egen hand, till exempel när de besöker ett företags webbplats.
Alla de sex VPN-bristerna som hittades i Pulse Secure, Fortinet och Palo Alto-produkterna korrigerades för en tid sedan. Oavsett om du har fått meddelande om nödvändiga korrigeringar, men valde att hoppa över att installera dem, eller om du inte har hört talas om dessa korrigeringar ännu, rekommenderar vi starkt att du använder dem så snart som möjligt. Naturligtvis i framtiden bör du alltid installera uppdateringar direkt om du vill att dina enheter och system ska vara säkra.
Hur avgör du om dina VPN-brister kan ha utnyttjats?
Om din VPN-applikation inte har korrigerats på länge, rekommenderar cybersecurity-specialister att vidta extra försiktighetsåtgärder. Vilket innebär att du inte bara ska applicera korrigeringsfiler som kan fixa dina VPN-brister utan också undersöka aktiviteter relaterade till ditt VPN för att söka efter bevis på ett brott. Nedan kan du se NCSC-tips om hur du hittar bevis på komprometterade VPN: er.
Pulse Connect
Organisationer som använder detta företags VPN-tjänster rekommenderas att söka efter anslutningar till misstänkta webbadresser. För att göra det rekommenderar specialister att skicka en HTTPS- begäran till webbgränssnittet direkt och inte via VPN. Om sådana aktiviteter visas i händelseloggar rekommenderas att du kontrollerar sökloggar för URL-adresser som innehåller frågetecken och slutar med / dana / html5acc / guacamole . Specialister rekommenderar också att du söker efter förfrågningar till /dana-admin/diag/diag.cgi . Om sådan information hittas och den går innan korrigeringar för svagheterna CVE02019-11510 och CVE-2019-11539 installerades, är det möjligt att ett system kan komprometteras.
Fortigate
Det verkar som hackare som kan utnyttja CVE-2018-13379-svagheten kan ladda ner en fil som heter sslvpn_websession . Cybersecurity-experter säger att det borde innehålla lösenord och användarnamn för alla aktiva användare, och filens storlek bör vara cirka 200 kB. Ett annat sätt att kontrollera om hackare kan ha utnyttjat ett företags VPN-brister är att undersöka brandväggsloggar eller Netflow- loggar om ett program var konfigurerat för att spela in dem. För att vara mer exakt, rekommenderar specialister att leta efter TCP- sessioner med 200,00-250 000 byte från SSL VPN-webbgränssnittsporten till klienten, vilket kan ge bevis på exploatering.
Palo Alto
Organisationer som kan ha använt oöverträffade VPN-verktyg från detta företag rekommenderas att leta efter kraschar i programvaruloggarna. Uppenbarligen kan misslyckade försök att utnyttja detta VPN vara synliga i sina loggar, och det är det enda som kan hjälpa till att avgöra om ett system kan äventyras.
Vad ska jag göra om du upptäcker att dina VPN-brister utnyttjades?
Cybersäkerhetsspecialister rekommenderar att återkalla inloggningsuppgifter i riskzonen och återställa autentiseringsuppgifter. Därefter uppmanas offren att kontrollera det överträdda programmets konfigurationsalternativ och söka efter obehöriga förändringar som, om de hittas, borde återställas. Som en extra försiktighetsåtgärd kan företag aktivera tvåfaktorautentisering och inaktivera alla portar eller funktioner på sina VPN: n som de inte använder eller behöver. Naturligtvis skulle det också vara smart att fortsätta övervaka nätverkstrafik och VNP-loggarna för misstänkta aktiviteter för att förhindra ytterligare attacker. Som en sista utväg föreslår cybersecurity-experter att torka av komprometterade enheter om ett företag misstänker ett brott, men inte kan hitta bevis för hacking och inte vill ta några chanser.
Sammantaget kan användning av VPN fortfarande hjälpa företag att skydda sina system från cyberbrottslighet. Det är dock viktigt att se till att det inte finns några VPN-brister, eftersom det är det som gör VPN sårbar. Därför rekommenderar cybersecurity-experter att du regelbundet letar efter nya korrigeringar och uppdateringar. Ju tidigare de installeras, desto mindre är chansen att hackare kan utnyttja oöverträffade svagheter. Det förmodligen det enklaste sättet att se till att VPN-tjänsterna som ditt företag använder är alltid uppdaterade är att anställa ett IT-team som skulle säkerställa att din VPN, såväl som annan mjukvara, lappades och uppdaterades i tid. För att lära dig mer om bristerna i företagets VPN rekommenderar vi att du läser här .
