Directives de sécurité pour la sécurisation des serveurs VPN publiées par la NSA et la CISA

La National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié des directives techniques sur la sécurisation correcte des serveurs VPN utilisés par les organisations pour permettre aux employés d'accéder à distance aux réseaux internes.

Selon la NSA, ces directives techniques ont été créées après que plusieurs pays ont confirmé que les acteurs de la menace persistante avancée (APT) militarisaient les vulnérabilités des serveurs VPN courants afin de violer les organisations.

Par exemple, des groupes parrainés par les États chinois, iranien et russe ont été détectés exploitant les vulnérabilités des VPN Pulse Secure et Fortinet lors de campagnes qui ont eu lieu entre 2019 et 2021.

Selon le communiqué de presse de la NSA :

L'exploitation de ces CVE [vulnérabilités] peut permettre à un acteur malveillant de voler des informations d'identification, d'exécuter du code à distance, d'affaiblir la cryptographie du trafic chiffré, de détourner des sessions de trafic chiffrées et de lire des données sensibles à partir de l'appareil. En cas de succès, ces effets conduisent généralement à d'autres accès malveillants et peuvent entraîner une compromission à grande échelle du réseau de l'entreprise.

Rob Joyce, directeur de la cybersécurité à la NSA, a déclaré que les dernières directives de la NSA et de la CISA peuvent aider à réduire votre surface d'attaque.

Divers gangs de rançongiciels tels que Conti, Ryuk, REvil, DoppelPaymer, LockBit et plusieurs autres ont été découverts en utilisant des serveurs VPN comme points d'entrée dans les organisations avant d'augmenter l'accès aux réseaux internes et de lancer leurs cyberattaques.

De plus, les serveurs VPN sont également utilisés par les botnets de crypto-minage pour infiltrer les réseaux d'entreprise, puis mettre en péril les systèmes internes avec un logiciel caché de minage de crypto-monnaie qui consomme des ressources informatiques pour les profits financiers des attaquants.

En parlant à The Record, Rob Joyce a déclaré :

L'exploitation des VPN d'accès à distance peut devenir une passerelle vers une compromission à grande échelle. Nous avons créé des conseils pour aider les organisations à comprendre ce qu'il faut rechercher lors du choix des VPN et comment les configurer pour réduire le risque d'être exploité. Utilisez ces recommandations pour vérifier que tous les VPN sont configurés en toute sécurité.

Les directives techniques, qui devraient recevoir des mises à jour, contiennent des conseils sur les sujets suivants :

1. Recommandations pour la sélection de VPN d'accès à distance
2. Instruction sur la configuration de la cryptographie et de l'authentification fortes
3. Consultation pour surmonter la surface d'attaque du VPN en n'exécutant que les fonctionnalités strictement nécessaires
4. Directive sur la protection et la surveillance de l'accès vers et depuis le VPN

Cyberattaque récente aux États-Unis :

La société céréalière NEW Cooperative Inc., basée dans l'Iowa, a été touchée par une attaque de ransomware, l'obligeant à fermer son système pour contrer l'attaque. Le groupe BlackMatter à l'origine de l'attaque a exigé une rançon concernant le public car cela pourrait affecter la chaîne d'approvisionnement aux États-Unis, provoquant une pénurie alimentaire potentielle.

En savoir plus à ce sujet ici: Attaque de ransomware de 5,9 millions de dollars contre une coopérative agricole américaine.