Gli hack VPN sono un disastro al rallentatore

Quest’anno lo ha fatto non sono mancati gli attacchi di successo, dal crollo della catena di approvvigionamento di SolarWinds al blitz della Cina contro i server Microsoft Exchange. È molto. Ma l’attenzione sproporzionata su quelle folate di hacking oscura un’altra minaccia che si è costantemente accumulata in background per anni, senza una chiara risoluzione in vista: l’assalto prolungato alle reti private virtuali.

L’ultimo esempio di crollo della VPN – stiamo parlando di connessioni aziendali, non della tua configurazione personale – è tra i più drammatici. La società di sicurezza FireEye questa settimana ha rivelato di aver trovato una dozzina di famiglie di malware, distribuite in più gruppi di hacker, banchettando con le vulnerabilità in Pulse Secure VPN. Le vittime si estendevano in tutto il mondo e variavano tra i soliti obiettivi di alto valore: appaltatori della difesa, istituzioni finanziarie e governi. Gli aggressori hanno utilizzato il loro trespolo per rubare credenziali legittime, migliorando le loro possibilità di ottenere un accesso sia profondo che duraturo.

Qual è il problema degli hack VPN. Poiché lo scopo principale di una VPN è creare una connessione sicura a una rete, il worming in una può far risparmiare agli hacker un sacco di problemi. “Una volta che gli hacker hanno queste credenziali, non hanno bisogno di utilizzare e-mail di spearphishing, non hanno bisogno di introdurre malware personalizzato”, afferma Sarah Jones, senior principal analyst di FireEye. “È una specie di situazione perfetta.”

La campagna scoperta da FireEye è particolarmente ambiziosa e potenzialmente preoccupante. È troppo presto per un’attribuzione definitiva, ma i gruppi dietro sembrano essere collegati alla Cina e i loro obiettivi sembrano pieni zeppi del tipo di informazioni sensibili su cui prosperano i gruppi di spionaggio. Una delle famiglie di malware, chiamata Slowpulse, potrebbe aggirare le protezioni di autenticazione a due fattori, eludendo una protezione fondamentale contro la raccolta delle credenziali.

“Il nuovo problema, scoperto questo mese, ha avuto un impatto su un numero molto limitato di clienti”, ha affermato Ivanti, società madre di Pulse Secure. “Il team ha lavorato rapidamente per fornire mitigazioni direttamente al numero limitato di clienti interessati che rimediano al rischio per il loro sistema”.

Una patch per correggere la vulnerabilità al cuore degli attacchi, tuttavia, non sarà disponibile fino al prossimo mese. E anche allora, potrebbe non fornire un gran balsamo. Le aziende sono spesso lente nell’aggiornamento delle loro VPN, in parte perché i tempi di inattività significano che i dipendenti non possono effettivamente svolgere il proprio lavoro. Alcune delle intrusioni rilevate da FireEye, infatti, sembrano correlate a vulnerabilità che erano state segnalate già nel 2019. Nello stesso anno, una falla di Pulse Secure VPN ha offerto un attacco a un gruppo di ransomware per trattenere Travelex, una compagnia di assicurazioni di viaggio, per milioni di dollari. Un anno dopo, nonostante gli avvertimenti dei ricercatori, delle organizzazioni nazionali di sicurezza informatica e delle forze dell’ordine, migliaia di organizzazioni sono rimaste vulnerabili, afferma Troy Mursch, chief research officer della società di intelligence sulle minacce informatiche Bad Packets.

Non è sempre stato così. Le VPN utilizzate in genere si basano su un set di protocolli noti come Internet Protocol Security o IPsec. Sebbene le VPN basate su IPsec siano considerate sicure e affidabili, possono anche essere complicate e goffe per gli utenti. Negli ultimi anni, quando il lavoro remoto si è espanso ed è esploso, sempre più VPN sono state invece costruite su tecnologie di crittografia onnipresenti note come single sockets layer e transport layer security. Le distinzioni si riducono rapidamente alle erbacce, ma essenzialmente le VPN SSL / TLS hanno reso l’accesso alla rete della tua azienda molto più semplice: la differenza tra la fusione sull’interstatale in un minivan rispetto a una Miata.

“È stato un grande passo avanti per comodità”, afferma Vijay Sarvepalli, un architetto senior di soluzioni di sicurezza presso il CERT Coordination Center presso la Carnegie Mellon University. CERT aiuta a catalogare le vulnerabilità e coordinare la loro divulgazione pubblica. “Quando hanno progettato quelle cose, i rischi non erano ancora stati considerati. Non è impossibile proteggerli, ma le persone non sono preparate a monitorare e rispondere rapidamente agli attacchi contro di loro “.

Il software di tutti i tipi presenta vulnerabilità, ma poiché le VPN per definizione fungono da canale per informazioni che devono essere private, i loro bug hanno gravi implicazioni. Il passaggio della pandemia al lavoro a distanza ha portato i problemi di fondo sotto i riflettori. “Molti fornitori di SSL VPN avevano seri difetti nei loro prodotti per cominciare”, afferma Mursch. “L’aumento dell’utilizzo di SSL VPN nell’ultimo anno ha portato a un maggiore controllo da parte dei ricercatori sulla sicurezza e degli attori delle minacce interessati a sfruttarli”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *