Sicherheitsrichtlinien zum Sichern von VPN-Servern, veröffentlicht von NSA und CISA

Die National Security Agency (NSA) und die Cybersecurity and Infrastructure Security Agency (CISA) haben technische Richtlinien zur korrekten Sicherung von VPN-Servern veröffentlicht, die von Organisationen verwendet werden, um Mitarbeitern den Fernzugriff auf interne Netzwerke zu ermöglichen.

Laut NSA wurden diese technischen Richtlinien erstellt, nachdem mehrere Nationen bestätigt hatten, dass Advanced Persistent Threat (APT)-Akteure Schwachstellen in gängigen VPN-Servern als Waffe genutzt haben, um Organisationen zu verletzen.

Beispielsweise wurden chinesische, iranische und russische staatlich geförderte Gruppen entdeckt, die Schwachstellen in Pulse Secure- und Fortinet-VPNs in Kampagnen ausnutzen, die zwischen 2019 und 2021 stattgefunden haben.

Laut NSA-Pressemitteilung :

Die Ausnutzung dieser CVEs [Schwachstellen] kann es einem böswilligen Akteur ermöglichen, Anmeldeinformationen zu stehlen, Code aus der Ferne auszuführen, die Kryptografie des verschlüsselten Datenverkehrs zu schwächen, verschlüsselte Datenverkehrssitzungen zu kapern und vertrauliche Daten vom Gerät zu lesen. Im Erfolgsfall führen diese Effekte in der Regel zu weiteren böswilligen Zugriffen und können zu einer groß angelegten Kompromittierung des Unternehmensnetzwerks führen.

Rob Joyce, Direktor für Cybersicherheit bei der NSA, sagte, dass die neuesten Leitlinien von NSA und CISA dazu beitragen können, Ihre Angriffsfläche zu verkleinern.

Verschiedene Ransomware-Gangs wie Conti, Ryuk, REvil, DoppelPaymer, LockBit und mehrere andere wurden gefunden, die VPN-Server als Einstiegspunkte in Unternehmen nutzten, bevor sie den Zugriff auf interne Netzwerke erweiterten und ihre Cyberangriffe starteten.

Darüber hinaus werden VPN-Server auch von Krypto-Mining-Botnets verwendet, um Unternehmensnetzwerke zu infiltrieren und dann interne Systeme mit versteckter Kryptowährungs-Mining-Software zu gefährden, die Rechenressourcen für die finanziellen Gewinne der Angreifer verbraucht.

Im Gespräch mit The Record sagte Rob Joyce:

Die Ausnutzung von Remote-Access-VPNs kann zu einem Einfallstor für groß angelegte Kompromittierungen werden. Wir haben einen Leitfaden erstellt, um Organisationen dabei zu helfen, zu verstehen, worauf sie bei der Auswahl von VPNs achten und wie sie sie konfigurieren können, um das Risiko einer Ausnutzung zu verringern. Verwenden Sie diese Empfehlungen, um zu überprüfen, ob alle VPNs sicher konfiguriert sind.

Die technischen Richtlinien, die voraussichtlich aktualisiert werden, enthalten Hinweise zu folgenden Themen:

1. Empfehlungen für die Auswahl von VPNs für den Fernzugriff
2. Anleitung zur Konfiguration starker Kryptografie und Authentifizierung
3. Beratung zur Überwindung der Angriffsfläche des VPN, indem nur unbedingt notwendige Funktionen ausgeführt werden
4. Anleitung zum Schützen und Überwachen des Zugriffs auf und vom VPN

Jüngster Cyberangriff in den Vereinigten Staaten:

Das in Iowa ansässige Getreideunternehmen NEW Cooperative Inc. wurde von einem Ransomware-Angriff getroffen und musste sein System herunterfahren, um dem Angriff entgegenzuwirken. Die BlackMatter-Gruppe, die hinter dem Angriff steht, hat von der Öffentlichkeit Lösegeld gefordert, da dies die Lieferkette in den USA beeinträchtigen und eine potenzielle Nahrungsmittelknappheit verursachen könnte.

Lesen Sie hier mehr darüber: Ransomware-Angriff im Wert von 5,9 Millionen US-Dollar auf eine US-Bauerngenossenschaft.