Norveška preporučuje zamjenu SSL VPN zbog čestih zloupotreba

IPsec s IKEv2 protokolom osigurava komunikaciju šifriranjem i autentifikacijom svakog paketa podataka pomoću skupa periodično osvježenih ključeva.

Redakcija
Objavio Redakcija 5 min za čitanje
NCSC - Norveški centar za cyber sigurnost

Norveški nacionalni centar za cyber sigurnost (NCSC) preporučuje zamjenu SSL VPN/WebVPN rješenja sigurnijim alternativama zbog čestih zloupotreba sigurnosnih nedostataka u uređajima za pristup mreži koji omogućavaju provale u korporativne mreže.

NCSC preporučuje završetak tranzicije do kraja 2025. godine, dok bi organizacije koje podliježu “Zakonu o sigurnosti” ili one iz kritične infrastrukture trebale usvojiti sigurnije alternative do kraja 2024. godine.

Zvanična preporuka NCSC-a za korisnike Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN) proizvoda je prelazak na Internet Protocol Security (IPsec) s Internet Key Exchange (IKEv2) protokolom.

SSL VPN i WebVPN pružaju sigurni udaljeni pristup mreži preko interneta pomoću SSL/TLS protokola, osiguravajući vezu između korisničkog uređaja i VPN servera kroz “kriptovani tunel”.

IPsec s IKEv2 protokolom osigurava komunikaciju šifriranjem i autentifikacijom svakog paketa podataka pomoću skupa periodično osvježenih ključeva.

“Ozbiljnost ranjivosti i ponavljajuća zloupotreba ove vrste ranjivosti od strane napadača znači da NCSC preporučuje zamjenu rješenja za sigurni udaljeni pristup koja koriste SSL/TLS sigurnijim alternativama. NCSC preporučuje Internet Protocol Security (IPsec) s Internet Key Exchange (IKEv2) protokolom,” stoji u NCSC-ovom obavještenju.

Iako ovaj nacionalni centar za cyber sigurnost priznaje da IPsec s IKEv2 protokolom nije bez nedostataka, vjeruje se da bi prelazak na njega značajno smanjio obim napada za incidente udaljenog sigurnog pristupa zbog manje tolerancije prema greškama u konfiguraciji u poređenju sa SSL VPN rješenjima.

Predložene mjere implementacije uključuju:

  • Ponovna konfiguracija postojećih VPN rješenja ili njihova zamjena
  • Migracija svih korisnika i sistema na novi protokol
  • Onemogućavanje funkcionalnosti SSL VPN-a i blokiranje dolazećeg TLS prometa
  • Korištenje autentikacije bazirane na certifikatima

U slučajevima gdje IPsec veze nisu moguće, NCSC sugerira korištenje 5G širokopojasnog interneta umjesto toga.

NCSC je također podijelio privremene mjere za organizacije čija VPN rješenja ne nude IPsec s IKEv2 opcijom i kojima je potrebno vrijeme za planiranje i sprovođenje migracije.

Ove mjere uključuju implementaciju centralizovanog logovanja VPN aktivnosti, strogih ograničenja geofencinga i blokiranje pristupa od VPN provajdera, Tor izlaznih čvorova i VPS provajdera.

Prednosti IPsec-a i nedostaci SSL VPN-a

Druge zemlje također preporučuju korištenje IPsec-a umjesto drugih protokola, uključujući Sjedinjene Države i Ujedinjeno Kraljevstvo.

Za razliku od IPsec-a, koji je otvoreni standard koji većina kompanija slijedi, SSL VPN nema standard, što proizvođače uređaja za mrežu primorava da naprave svoju implementaciju protokola.

Međutim, ovo je rezultiralo brojnim greškama otkrivenim tokom godina u SSL VPN implementacijama od kompanija kao što su Cisco, Fortinet i SonicWall, a koje hakeri aktivno zloupotrebljavaju za provale u mreže.

Kao primjer, Fortinet je u februaru otkrio da je kineska hakerska grupa Volt Typhoon iskoristila dvije ranjivosti FortiOS SSL VPN-a i uspješno provalila u organizacije, uključujući vojnu mrežu Nizozemske.

U 2023. godini, ransomware operacije malicioznih aktera Akira i LockBit iskoristile su SSL VPN zero-day ranjivost u Cisco ASA routerima i provalili u korporativne mreže, ukrali podatke i šifrirali uređaje.

Ranije te godine, FortiGate SSL VPN ranjivost je iskorištena kao zero-day protiv vlade, proizvodnje i kritične infrastrukture.

Preporuke NCSC-a dolaze nakon što je organizacija nedavno upozorila na naprednog malicioznog aktera koji je od novembra 2023. godine iskoristio više zero-day ranjivosti u Cisco ASA VPN-ovima koji se koriste u kritičnoj infrastrukturi.

Cisco je tu određenu kampanju otkrio kao “ArcaneDoor”, pripisujući je grupi za prijetnje poznatoj kao “UAT4356” ili “STORM-1849”, koja je dobila neovlašteni pristup WebVPN sesijama povezanim sa SSL VPN servisima uređaja.

Napad je uključivao iskorištavanje dvije zero-day ranjivosti, CVE-2024-20353 i CVE-2024-20359, koje su omogućile napadačima zaobilaženje autentikacije, preuzimanje uređaja i dizanje privilegija.

Iako je Cisco 24. aprila popravio te dvije ranjivosti, kompanija za mrežnu opremu nije mogla identifikovati kako su maliciozni akteri prvobitno dobili pristup uređaju.

Zaključak

NCSC preporuka za zamjenu SSL VPN rješenja sa sigurnijim alternativama kao što je IPsec s IKEv2 protokolom predstavlja značajnu promjenu za poboljšanje sigurnosti udaljenog pristupa. Organizacije treba da počnu planirati i implementirati ove mjere kako bi se zaštitile od rastućeg broja prijetnji koje ciljaju na ranjivosti SSL VPN-a.

Podijeli ovaj članak
Leave a comment

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *