Η πανδημία του COVID-19 έχει οδηγήσει πολλούς οργανισμούς να συνιστούν στους υπαλλήλους τους την απομακρυσμένη εργασία, σε μία προσπάθεια να μειώσουν τις πιθανότητες διάδοσης του ιού και να εξασφαλίσουν την ασφάλειά τους. Με αφορμή τις νέες συνθήκες, η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) δημοσίευσε κάποιες οδηγίες που πρέπει να ακολουθήσουν οι οργανισμοί για να ενισχύσουν την ασφάλεια των εικονικών ιδιωτικών δικτύων (VPN) και των σηράγγων IPsec από πιθανές επιθέσεις. Εκτός από την παροχή συμβουλών στους οργανισμούς σχετικά με τον τρόπο ασφάλειας των σηράγγων IPsec, η καθοδήγηση της NSA για το VPN τονίζει επίσης τη σημασία της χρήσης ισχυρής κρυπτογράφησης για την προστασία ευαίσθητων κι εμπιστευτικών πληροφοριών που περιέχονται στην κίνηση, διασχίζοντας μη αξιόπιστα δίκτυα κατά τη σύνδεση σε απομακρυσμένους servers.
Η NSA αναφέρει πως τα VPN είναι απαραίτητα για την ενεργοποίηση της απομακρυσμένης πρόσβασης και την ασφαλή σύνδεση σε remote sites, αλλά χωρίς σωστό configuration και patch management, τα VPN είναι ευάλωτα σε επιθέσεις. Μεταξύ των μέτρων που πρέπει να λάβουν οι διαχειριστές δικτύων για να διασφαλίσουν την ασφάλεια των VPΝ τους, η NSA υπογραμμίζει την ανάγκη μείωσης της επιφάνειας επίθεσης, της προσαρμογής των προεπιλεγμένων ρυθμίσεων του VPΝ και της εφαρμογής τυχόν ενημερώσεων ασφαλείας που κυκλοφορούν από προμηθευτές.
Αναλυτικότερα, η NSA συνιστά στους οργανισμούς να ακολουθήσουν, για να διασφαλίσουν την ασφάλεια των VPN τους, τις ακόλουθες οδηγίες:
• Μειώστε την επιφάνεια επίθεσης πύλης VPN.
• Βεβαιωθείτε ότι οι κρυπτογραφικοί αλγόριθμοι συμμορφώνονται στο CNSSP.
• Αποφύγετε τη χρήση προεπιλεγμένων ρυθμίσεων VPΝ.
• Καταργήστε τα “αχρησιμοποίητα ή μη συμμορφούμενα” suites κρυπτογράφησης.
• Εφαρμόστε ενημερώσεις που παρέχονται από προμηθευτές, δηλαδή ενημερώσεις κώδικα, για πύλες και πελάτες VPN.
Αρχικά, συνιστάται στους διαχειριστές να εφαρμόζουν αυστηρούς κανόνες φιλτραρίσματος της κίνησης που έχουν σχεδιαστεί για να περιορίζουν τις θύρες, τα πρωτόκολλα και τις διευθύνσεις IP που μπορούν να χρησιμοποιηθούν για τη σύνδεση σε συσκευές VPΝ. Εάν αυτό δεν είναι δυνατό, ένα Σύστημα Πρόληψης Εισβολών (IPS) μπορεί να βοηθήσει παρακολουθώντας την ανεπιθύμητη κίνηση του Ipsec. Οι διαχειριστές πρέπει επίσης να διασφαλίζουν ότι οι πολιτικές ISAKMP / IKE και IPsec δεν επιτρέπουν ξεπερασμένους αλγόριθμους κρυπτογράφησης για να αποφευχθεί η παραβίαση εμπιστευτικών δεδομένων. Όσον αφορά τις προεπιλεγμένες ρυθμίσεις VPN, η NSA συνιστά την αποφυγή της χρήσης wizards, scripts ή προεπιλογών που παρέχονται από προμηθευτές, καθώς ενδέχεται να διαμορφώσουν μη συμμορφούμενες πολιτικές ISAKMP / IKE και IPsec.
Η κατάργηση των μη συμμορφούμενων και αχρησιμοποίητων suites κρυπτογράφησης είναι ένα άλλο μέτρο που συνιστάται για την άμυνα ενάντια σε επιθέσεις, όπου τα VPN endpoints αναγκάζονται να διαπραγματευτούν μη συμμορφούμενα και μη ασφαλή κρυπτογραφικά suites, εκθέτοντας την κρυπτογραφημένη κίνηση VPN σε προσπάθειες αποκρυπτογράφησης. Ένα ακόμη μέτρο που είναι πολύ σημαντικό και πρέπει να ακολουθήσουν οι οργανισμοί, είναι να βεβαιωθούν ότι οι πιο πρόσφατες ενημερώσεις κώδικα που παρέχονται από έναν προμηθευτή εφαρμόζονται το συντομότερο δυνατό ώστε να μετριάσουν τα σφάλματα ασφαλείας που ανακαλύφθηκαν πρόσφατα και επηρεάζουν τόσο τις πύλες όσο και τους πελάτες VPN. Η NSA εξέδωσε επίσης οδηγίες παρέχοντας στους διαχειριστές παραδείγματα IPsec VPN configurations και συγκεκριμένες οδηγίες σχετικά με τον τρόπο εφαρμογής των παραπάνω μέτρων και τη διασφάλιση των πιο ασφαλών VPΝ configurations.
Στα τέλη του 2019, η NSA προειδοποίησε για πολλούς APT (Advanced Persistent Threat) χάκερς που υποστηρίζονται από το κράτος, οι οποίοι εκμεταλλεύονται τις ευπάθειες CVE-2019-11510, CVE-2019-11539 και CVE-2018-13379 για να θέσουν σε κίνδυνο ευάλωτες συσκευές VPN. Η NSA εξέδωσε επίσης οδηγίες μετριασμού για τους πελάτες των Pulse Secure, Palo Alto και Fortinet VPN για την ενίσχυση της ασφαλείας των VPN τους. Στις αρχές του 2020, η CISA προειδοποίησε τους οργανισμούς να διορθώσουν τους Pulse Secure VPN servers τους για να ενισχύσουν την άμυνά τους απέναντι σε επιθέσεις που προσπαθούν να εκμεταλλευτούν μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που εντοπίζεται ως CVE-2019-11510. Επρόκειτο για μια προειδοποίηση που ακολούθησε μια άλλη ειδοποίηση που εκδόθηκε από τη CISA τον Οκτώβριο του 2019 και άλλες που προέρχονταν από την Υπηρεσία Εθνικής Ασφάλειας (NSA), το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο (NCSC) του Ηνωμένου Βασιλείου και το Καναδικό Κέντρο για την Ασφάλεια στον κυβερνοχώρο.
Τον ίδιο μήνα, μια ειδοποίηση ασφαλείας του FBI ανέφερε ότι κρατικοί χάκερς παραβίασαν τα δίκτυα μιας οικονομικής οντότητας των ΗΠΑ και ενός δικτύου δημοτικής αρχής των ΗΠΑ, αφού εκμεταλλεύτηκαν servers που ήταν ευάλωτοι στην ευπάθεια που εντοπίζεται ως CVE-2019-11510.
Λίγο καιρό αργότερα, η CISA ανέφερε ότι χάκερς ανέπτυξαν επιτυχώς ransomware σε συστήματα νοσοκομείων των ΗΠΑ και κυβερνητικών φορέων, με τη βοήθεια κλεμμένων credentials από το Active Directory, μήνες μετά την εκμετάλλευση των Pulse Secure VPN servers που ήταν unpatched έναντι της ευπάθειας που εντοπίζεται ως CVE-2019-11510. Τον Μάρτιο, η CISA κοινοποίησε επίσης μια σειρά από συμβουλές, σε μία προσπάθεια να βοηθήσει τους οργανισμούς που εκτελούσαν εργασίες από οικιακά προγράμματα, να ασφαλίσουν σωστά τα εταιρικά VPN τους, καθώς χάκερς αναμενόταν να επικεντρώσουν τις επιθέσεις τους στους εργαζομένους που κατέφυγαν στην απομακρυσμένη εργασία.
.){kind=link}