Wytyczne bezpieczeństwa dotyczące zabezpieczania serwerów VPN opublikowane przez NSA i CISA
National Security Agency (NSA) oraz Cybersecurity and Infrastructure Security Agency (CISA) opublikowały wytyczne techniczne dotyczące prawidłowego zabezpieczania serwerów VPN wykorzystywanych przez organizacje w celu umożliwienia pracownikom zdalnego dostępu do sieci wewnętrznych.
Według NSA te wytyczne techniczne zostały stworzone po tym, jak kilka krajów potwierdziło, że aktorzy z zaawansowanych, trwałych zagrożeń (APT) wykorzystywali luki w zabezpieczeniach popularnych serwerów VPN jako sposób na włamywanie się do organizacji.
Na przykład wykryto, że chińskie, irańskie i rosyjskie grupy sponsorowane przez państwo wykorzystują luki w zabezpieczeniach sieci VPN Pulse Secure i Fortinet w kampaniach, które miały miejsce w latach 2019-2021.
Według komunikatu prasowego NSA :
Wykorzystanie tych CVE [luek] może umożliwić złośliwemu podmiotowi kradzież danych uwierzytelniających, zdalne wykonanie kodu, osłabienie kryptografii zaszyfrowanego ruchu, przejęcie zaszyfrowanych sesji ruchu i odczytanie poufnych danych z urządzenia. Jeśli się powiedzie, efekty te zwykle prowadzą do dalszego złośliwego dostępu i mogą skutkować na dużą skalę włamaniem do sieci firmowej.
Rob Joyce, dyrektor ds. cyberbezpieczeństwa w NSA, powiedział, że najnowsze wytyczne NSA i CISA mogą pomóc zmniejszyć powierzchnię ataku.
Różne gangi ransomware, takie jak Conti, Ryuk, REvil, DoppelPaymer, LockBit i kilka innych, wykorzystują serwery VPN jako punkty wejścia do organizacji przed zwiększeniem dostępu do sieci wewnętrznych i rozpoczęciem cyberataków.
Co więcej, serwery VPN są również wykorzystywane przez botnety do wydobywania kryptowalut do infiltracji sieci korporacyjnych, a następnie narażania systemów wewnętrznych na niebezpieczeństwo ukrytym oprogramowaniem do wydobywania kryptowalut, które zużywa zasoby obliczeniowe dla zysków finansowych atakujących.
Podczas rozmowy z The Record Rob Joyce powiedział:
Wykorzystywanie zdalnych sieci VPN może stać się bramą do kompromisów na dużą skalę. Stworzyliśmy wskazówki, aby pomóc organizacjom zrozumieć, na co zwracać uwagę przy wyborze sieci VPN i jak je skonfigurować, aby zmniejszyć ryzyko wykorzystania. Skorzystaj z tych zaleceń, aby sprawdzić, czy wszystkie sieci VPN są bezpiecznie skonfigurowane.
Wskazówki techniczne, które mają być aktualizowane, zawierają porady dotyczące następujących tematów:
- Zalecenia dotyczące wyboru sieci VPN dostępu zdalnego
- Instrukcja konfiguracji silnej kryptografii i uwierzytelniania
- Konsultacje w sprawie pokonania powierzchni ataku VPN poprzez uruchomienie tylko ściśle niezbędnych funkcji
- Wskazówki dotyczące ochrony i monitorowania dostępu do i z VPN
Niedawny cyberatak w Stanach Zjednoczonych:
Firma NEW Cooperative Inc. z siedzibą w stanie Iowa została dotknięta atakiem oprogramowania ransomware, zmuszając ją do zamknięcia systemu w celu przeciwdziałania atakowi. Grupa BlackMatter stojąca za atakiem zażądała okupu od społeczeństwa, ponieważ może to wpłynąć na łańcuch dostaw w USA, powodując potencjalny niedobór żywności.
Przeczytaj więcej na ten temat tutaj: Atak ransomware o wartości 5,9 miliona USD na spółdzielnię rolników z USA.