Εάν έχετε επιχείρηση και οι υπάλληλοι σας χρησιμοποιούν VPN από το Fortinet, το Palo Alto ή το Pulse Secure, πρέπει σίγουρα να επιδιορθώσετε τα προϊόντα σας και να ελέγξετε για τυχόν βλάβες τα συστήματά σας.
Όπως έγινε γνωστό τον Σεπτέμβριο, μια ομάδα hackers από την Κίνα, με ψευδώνυμο APT5, πραγματοποίησε επιθέσεις σε εταιρικούς VPN servers χρησιμοποιώντας προϊόντα Fortinet και Pulse Secure.
Οι δράσεις αυτής της ομάδας έγιναν γνωστές, όμως κανείς δε μπορεί να είναι σίγουρος ότι δεν υπάρχει άλλη αντίστοιχη ομάδα που θα επιχειρήσει να εκμεταλλευτεί τις ευπάθειες. Το Εθνικό Κέντρο Cybersecurity (NCSC) του Ηνωμένου Βασιλείου προειδοποιεί τους οργανισμούς ότι το GlobalProtect portal και το GlobalProtect Gateway interface του Palo δέχεται επίσης επιθέσεις από hackers. Οι επιθέσεις αυτές βρίσκονται ακόμα σε εξέλιξη και στοχεύουν όχι μόνο σε βρετανικούς αλλά και διεθνείς οργανισμούς όπως κυβερνητικοί, στρατιωτικοί, ακαδημαϊκοί, επιχειρηματικοί και υγειονομικοί φορείς.
Το NCSC έδωσε στη δημοσιότητα τις 6 μεγαλύτερες ευπάθειες που εκμεταλλεύονται οι ομάδες hacking σε VPN προϊόντα. Παράλληλα, διατίθενται και οι επιδιορθώσεις για κάθε μια από τις ευπάθειες και συστήνεται η άμεση ενημέρωση των admins για αποφυγή συμβιβασμών, καθώς ο κώδικας των επιτιθέμενων είναι διαθέσιμος online.
Τα ελαττώματα VPN θα επιτρέψουν στους hackers να αποκτήσουν credentials που μπορούν να χρησιμοποιηθούν για να συνδεθούν με το VPN και να αλλάξουν τις ρυθμίσεις.
- Τα ελαττώματα που επηρεάζουν το Pulse Connect Secure VPN είναι τα CVE-2019-11510 και CVE-2019-11539.
- Τα ελαττώματα που επηρεάζουν τις συσκευές Fortigate της Fortinet είναι τα CVE-2018-13379, CVE-2018-13382 και CVE-2018-13383.
- Και του GlobalProtect portal και το GlobalProtect Gateway interface του Palo είναι το CVE-2019-1579.
Το NCSC συστήνει σε οργανισμούς που έχουν γίνει στόχος από hackers υποστηριζόμενους από το κράτος, να ελέγχουν όλες τις ρυθμίσεις και τα αρχεία καταγραφής για υπηρεσίες που οι χρήστες συνδέονται μέσω VPN.
Συνιστά επίσης να καθαρίζουν πλήρως οι συσκευές αν έχουν υποστεί επίθεση στο παρελθόν. Επιπλέον, οι οργανισμοί θα πρέπει να εφαρμόσουν two-factor authentication για VPN και να απενεργοποιήσουν τις περιττές λειτουργίες και τις θύρες στο VPN.
