Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομής των ΗΠΑ (CISA) και η Υπηρεσία Εθνικής Ασφάλειας (NSA) εξέδωσαν οδηγίες για την ενίσχυση της ασφάλειας των λύσεων εικονικού ιδιωτικού δικτύου (VPN).
Δείτε επίσης: FBI, CISA και NSA: Κλιμάκωση επιθέσεων ransomware Conti
Οι δύο οργανισμοί δημιούργησαν το έγγραφο για να βοηθήσουν τους οργανισμούς να βελτιώσουν την άμυνά τους ιδίως ενάντια σε επιθέσεις από αντιπάλους εθνικών κρατών, οι οποίοι στο παρελθόν έχουν εκμεταλλευτεί σφάλματα σε συστήματα VPN για να “κλέψουν credentials, να εκτελέσουν από απόσταση κώδικα, να αποδυναμώσουν το cryptography της κρυπτογραφημένης κίνησης, να παραβιάσουν κρυπτογραφημένες συνεδρίες traffic, και να διαβάσουν ευαίσθητα δεδομένα από τη συσκευή.”
Το έγγραφο παρέχει κατεύθυνση για την επιλογή λύσεων VPN που ακολουθούν τα βιομηχανικά πρότυπα και τις βέλτιστες πρακτικές για τη χρήση ισχυρών credentials ελέγχου ταυτότητας.
Οι οργανισμοί θα πρέπει επίσης να επιλέγουν προϊόντα από αξιόπιστους προμηθευτές με ιστορικό γρήγορης δράσης για την επίλυση γνωστών τρωτών σημείων.
Δείτε επίσης: NSA: Οδηγίες για τον τρόπο ασφάλειας ασύρματων συσκευών
Ως γενικοί κανόνες για την “ενίσχυση” του VPN, οι δύο υπηρεσίες προτείνουν τη μείωση του attack surface του server κατά:
- Διαμόρφωση ισχυρής κρυπτογραφίας και ελέγχου ταυτότητας
- Λειτουργεί με αυστηρά απαραίτητες λειτουργίες
- Προστασία και παρακολούθηση της πρόσβασης από και προς το VPN
Η δημοσίευση αυτού του εγγράφου έρχεται αφού οι απειλητικοί φορείς, τόσο με οικονομικά κίνητρα όσο και με κρατική υποστήριξη, επικεντρώθηκαν τον τελευταίο καιρό στο exploiting των τρωτών σημείων VPN για την επίτευξη του στόχου τους.
Ο φορέας της επίθεσης έχει προσελκύσει χάκερ που υποστηρίζονται από την κυβέρνηση, οι οποίοι αξιοποίησαν τρωτά σημεία σε συσκευές VPN για να διεισδύσουν σε δίκτυα που ανήκουν σε κυβερνητικούς οργανισμούς και αμυντικές εταιρείες σε διάφορες χώρες.
Νωρίτερα φέτος τον Απρίλιο, η εταιρεία κυβερνοασφάλειας FireEye δημοσίευσε μια έκθεση σχετικά με δύο ομάδες που υποστηρίζονται από το κράτος, πιθανώς Κινέζους, που χρησιμοποίησαν μια ευπάθεια zero-day στη συσκευή VPN Pulse Connect Secure (PCS) σε επιθέσεις που επικεντρώθηκαν στην αμερικανική αμυντική βιομηχανική βάση (DIB) δίκτυα.
Την ίδια στιγμή, η NSA και η CISA προειδοποίησαν ότι χάκερ που εργάζονταν για τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR) – ονομάζονται και ως APT29, Cozy Bear και The Dukes) είχαν εκμεταλλευτεί και συνέχισαν να εκμεταλλεύονται επιτυχώς σφάλματα στις συσκευές Fortinet και Pulse Secure VPN για αρχική πρόσβαση σε δίκτυο προορισμού.
Δείτε επίσης: NSA και CISA μοιράζονται τις συστάσεις ασφαλείας του Kubernetes
Ένα advisory από το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) τον Μάιο πρόσθεσε συσκευές από τη Cisco και άλλους προμηθευτές εργαλείων δικτύου στη λίστα προϊόντων με ευπάθειες που εκμεταλλεύτηκαν οι χάκερ SVR.
Οι συμμορίες ransomware έχουν επίσης δείξει τεράστιο ενδιαφέρον για αυτόν τον τύπο φορέα πρόσβασης στο δίκτυο. Τουλάχιστον επτά λειτουργίες έχουν εκμεταλλευτεί σφάλματα σε λύσεις VPN από Fortinet, Ivanti (Pulse) και SonicWall.
Οι επιχειρήσεις Cring, Ragnar Locker, Black Kingdom, HelloKitty, LockBit, REvil ή Conti έχουν παραβιάσει δεκάδες εταιρείες εκμεταλλευόμενες ζητήματα ασφαλείας VPN.
Πηγή πληροφοριών: bleepingcomputer.com
 και η Υπηρεσία Εθνικής Ασφάλειας (NSA) εξέδωσαν οδηγίες για την ενίσχυση){kind=link}