National Security Agency (NSA) och Cybersecurity and Infrastructure Security Agency (CISA) har publicerat tekniska riktlinjer för att korrekt säkra VPN-servrar som används av organisationer för att ge anställda fjärråtkomst till interna nätverk.
Enligt NSA skapades dessa tekniska riktlinjer efter att flera nationer bekräftat att avancerade persistent hot-aktörer (APT) beväpnade sårbarheter i vanliga VPN-servrar som ett sätt att bryta mot organisationer.
Till exempel har kinesiska, iranska och ryska statssponsrade grupper upptäckts utnyttja sårbarheter i Pulse Secure och Fortinet VPN i kampanjer som har ägt rum mellan 2019 och 2021.
Enligt NSA pressmeddelande :
Exploateringen av dessa CVE:er [sårbarheter] kan göra det möjligt för en illvillig aktör att stjäla referenser, fjärrexekvera kod, försvaga krypterad trafiks kryptografi, kapa krypterade trafiksessioner och läsa känslig data från enheten. Om de lyckas leder dessa effekter vanligtvis till ytterligare skadlig åtkomst och kan resultera i en storskalig kompromiss med företagsnätverket.
Rob Joyce, direktör för cybersäkerhet på NSA, har sagt att den senaste vägledningen från NSA och CISA kan hjälpa till att krympa din attackyta.
Olika ransomware-gäng som Conti, Ryuk, REvil, DoppelPaymer, LockBit och flera andra har hittats som använder VPN-servrar som sina ingångar till organisationer innan de ökar tillgången till interna nätverk och lanserar sina cyberattacker.
Dessutom används VPN-servrar också av crypto mining botnät för att infiltrera företagsnätverk och sedan äventyra interna system med dolda cryptocurrency gruvprogram som förbrukar datorresurser för angriparnas ekonomiska vinster.
När Rob Joyce pratade med The Record sa:
Att utnyttja VPN:er med fjärråtkomst kan bli en inkörsport till storskalig kompromiss. Vi skapade vägledning för att hjälpa organisationer att förstå vad de ska leta efter när de väljer VPN och hur man konfigurerar dem för att minska risken att bli utnyttjad. Använd dessa rekommendationer för att verifiera att alla VPN är säkert konfigurerade.
De tekniska riktlinjerna, som förväntas få uppdateringar, innehåller råd om följande ämnen:
- Rekommendationer för att välja VPN:er med fjärråtkomst
- Instruktioner om att konfigurera stark kryptografi och autentisering
- Konsultation om att övervinna VPN:s attackyta genom att köra endast strikt nödvändiga funktioner
- Anvisningar för att skydda och övervaka åtkomst till och från VPN
Senaste cyberattacken i USA:
Iowa-baserade spannmålsföretaget NEW Cooperative Inc. har drabbats av en ransomware-attack, vilket tvingar det att stänga av sitt system för att motverka attacken. BlackMatter-gruppen bakom attacken har krävt lösen för allmänheten eftersom det kan påverka leveranskedjan i USA, vilket kan orsaka en potentiell matbrist.
Läs mer om det här: $5,9 miljoner Ransomware Attack on a US Farmer Cooperative.