Norweskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) zaleca zastąpienie rozwiązań SSLVPN/WebVPN alternatywami. Powodem jest powtarzające się wykorzystywanie związanych z nimi luk w urządzeniach brzegowych sieci, co prowadzi do naruszeń bezpieczeństwa sieci korporacyjnych. Czy Norwegia ma rację?
Organizacja zaleca, aby przejście zostało zakończone do 2025 r., podczas gdy organizacje podlegające „Ustawie o bezpieczeństwie” lub te z infrastruktury krytycznej powinny przyjąć bezpieczniejsze alternatywy już do końca 2024 roku.
Oficjalna rekomendacja NCSC dla użytkowników produktów Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN) to przejście na Internet Protocol Security (IPsec) z Internet Key Exchange (IKEv2).
Internet Protocol Security vs Internet Key Exchange
Internet Protocol Security (IPsec) to zestaw protokołów służących do zabezpieczania komunikacji w sieci komputerowej. IPsec działa poprzez szyfrowanie i uwierzytelnianie danych przesyłanych między urządzeniami, co zapewnia poufność, integralność i autentyczność informacji. Używa technik kryptograficznych, takich jak algorytmy szyfrujące i klucze kryptograficzne, aby chronić dane przed nieautoryzowanym dostępem i modyfikacją. IPsec może być stosowany do zabezpieczania połączeń między sieciami (site-to-site) oraz zdalnego dostępu użytkowników do sieci (client-to-site).
Internet Key Exchange (IKE) to z kolei protokół używany w ramach IPsec do negocjacji i ustanawiania bezpiecznych połączeń. IKE automatycznie zarządza procesem wymiany kluczy kryptograficznych, które są wykorzystywane do szyfrowania i uwierzytelniania danych przesyłanych w sieci. Działa w dwóch fazach: najpierw tworzy bezpieczny kanał komunikacji między stronami, a następnie negocjuje szczegóły sesji, takie jak algorytmy szyfrowania i klucze. IKEv2, nowsza wersja protokołu, oferuje lepszą wydajność, bezpieczeństwo i prostsze zarządzanie w porównaniu do IKEv1.
Norweskie Narodowe Centrum Cyberbezpieczeństwa ma zalecenia
SSL VPN i WebVPN zapewniają bezpieczny zdalny dostęp do sieci przez internet za pomocą protokołów SSL/TLS, zabezpieczając połączenie między urządzeniem użytkownika a serwerem VPN przy użyciu tzw. tunelu szyfrowania.
IPsec z IKEv2 zabezpiecza komunikację poprzez szyfrowanie i uwierzytelnianie każdego pakietu za pomocą zestawu okresowo odświeżanych kluczy.
Chociaż organizacja ds. cyberbezpieczeństwa przyznaje, że IPsec z IKEv2 nie jest wolny od wad, uważa, że przejście na niego znacznie zmniejszyłoby powierzchnię ataku na bezpieczny zdalny dostęp z powodu mniejszej tolerancji na błędy konfiguracyjne w porównaniu z SSLVPN.
Proponowane środki wdrożeniowe obejmują:
- Rekonfigurowanie istniejących rozwiązań VPN lub ich zastępowanie
- Migracja wszystkich użytkowników i systemów do nowego protokołu
- Wyłączanie funkcji SSLVPN i blokowanie przychodzącego ruchu TLS
- Używanie uwierzytelniania opartego na certyfikatach
Tam, gdzie połączenia IPsec nie są możliwe, NCSC sugeruje użycie szerokopasmowego połączenia 5G. Tymczasem NCSC również podzieliło się środkami przejściowymi dla organizacji, których rozwiązania VPN nie oferują opcji IPsec z IKEv2 i potrzebują czasu na zaplanowanie i przeprowadzenie migracji.
Środki te obejmują wdrożenie centralnego logowania aktywności VPN, ścisłe restrykcje geograficzne oraz blokowanie dostępu od dostawców VPN, węzłów wyjściowych Tor i dostawców VPS.
Inne kraje również zalecały użycie IPsec zamiast innych protokołów, w tym USA i Wielka Brytania.
Obfitość wykorzystanych luk w SSLVPN
W przeciwieństwie do IPsec, który jest otwartym standardem, którego przestrzega większość firm, SSLVPN nie ma standardu. To powoduje, że producenci urządzeń sieciowych tworzą własne implementacje protokołu. Doprowadziło to do licznych błędów odkrywanych na przestrzeni lat w implementacjach SSL VPN od Cisco, Fortinet i SonicWall, które hakerzy aktywnie wykorzystują do naruszania sieci.
Na przykład Fortinet ujawnił w lutym, że chińska grupa hakerska Volt Typhoon wykorzystała dwie luki w SSL VPN FortiOS do naruszania organizacji, w tym holenderskiej sieci wojskowej.
W 2023 r. operacje ransomware Akira i LockBit wykorzystały lukę typu zero-day w SSL VPN w routerach Cisco ASA do naruszania sieci korporacyjnych, kradzieży danych i szyfrowania urządzeń.
Wcześniej tego roku luka w SSL VPN Fortigate została wykorzystana jako zero-day przeciwko rządom, sektorowi produkcyjnemu i infrastrukturze krytycznej.
Norwegia już ostrzegała
Rekomendacje NCSC pojawiają się po tym, jak organizacja niedawno ostrzegła o zaawansowanym aktorze zagrożeń wykorzystującym wiele luk typu zero-day w VPN-ach Cisco ASA używanych w infrastrukturze krytycznej od listopada 2023 r.
Sprawdź też: Obrona przed APT
Cisco ujawniło tę konkretną kampanię jako ArcaneDoor, przypisując ją grupie zagrożeń śledzonej jako UAT4356 lub STORM-1849, która uzyskała nieautoryzowany dostęp do sesji WebVPN związanych z usługami SSL VPN urządzenia.
Ataki obejmowały wykorzystanie dwóch luk typu zero-day, mianowicie CVE-2024-20353 i CVE-2024-20359, które umożliwiły hakerom obejście uwierzytelniania, przejęcie urządzenia i podniesienie uprawnień do praw administracyjnych.
Chociaż Cisco naprawiło te dwie luki 24 kwietnia, firma zajmująca się cyberbezpieczeństwem i sprzętem sieciowym nie była w stanie zidentyfikować, jak aktorzy zagrożeń początkowo uzyskali dostęp do urządzenia.
Czytaj też: