Možnosti vzdialeného prístupu – alebo ako (ne)otvoriť dvere útočníkovi do podnikovej siete
Spravodajská spoločnosť Cyble venujúca sa dark webu varuje, že zaznamenala nárast kybernetických útokov zameraných na virtuálne vzdialené pripojenie VNC. Služba VNC a jej protokol RFB (Remote Frame Buffer) poskytuje vzdialený prístup na virtuálny počítač, čo je funkcionalita, ktorá je aj v čase pandémie aktívne využívaná na vzdialené pripájanie k podnikovým sieťam/virtuálnemu pracovnému prostrediu. VJ CSIRT varuje pred nedostatočným zabezpečením možností vzdialeného pripájania k podnikovým sieťam či službám. Protokoly a služby ako VNC, RDP, FTP, SMB a pod. by nemali byť priamo dostupné z verejného internetu.
Opis činnosti:
Viac ako 8 000 VNC
Spoločnosť Cyble identifikovala celosvetovo viac ako 8 000 VNC serverov, ktoré majú vypnutú autentifikáciu a používajú predvolený sieťový port 5900, na ktorý bolo v poslednom čase zaznamenané prudké zvýšenie počtu útokov. Výskumníci Cyble vyšetrovaním prišli na to, že informácie o VNC pripojeniach sú často ponúkané na fórach a trhoch s počítačovou kriminalitou.
Vystavenie akéhokoľvek pripojenia s nesprávnou konfiguráciou zvyšuje pravdepodobnosť kybernetického útoku.
Spoločnosť uvádza, že vzdialený prístup k prvkom IT/OT infraštruktúry je užitočný, no nesprávne implementované či nakonfigurované bezpečnostné opatrenia môžu viesť k veľmi závažným incidentom a významným stratám dát, či finančnej škode. Pri kompromitácii infraštruktúry vie často útočník triviálne odcudziť dáta organizácie či zaviesť do infraštruktúry škodlivý kód ako napríklad ransomvér, spyware či zaistiť si backdoor. Následne môže napríklad organizáciu vydierať.
Odporúčania:
VJ CSIRT odporúča pri všetkých protokoloch a službách využívaných na prístup k podnikovej sieti, úložisku dát, potenciálne zraniteľným aplikáciám, manažmentovým rozhraniam prvkov infraštruktúry a podobne, aby neboli tieto pripojenia dostupné z verejného internetu. Pre efektívne zníženie možností útoku na organizáciu (zníženie počtu vektorov útoku) odporúčame implementáciu a správnu konfiguráciu VPN pripojenia za ktorým budú všetky potenciálne zraniteľné služby skryté.
Ako správne spravovať VPN?
- Zariadenie a službu poskytujúcu VPN udržujte vždy aktuálne
- Aktívne sledujte informácie od výrobcu Vášho VPN riešenia (mitigácia zraniteľností/bezpečnostné aktualizácie/informácie o ukončení podpory…)
- Pre prístup k VPN používajte autentifikáciu pomocou digitálnych certifikátov
- Certifikáty pravidelne obmieňajte po pevne stanovenej dobe platnosti
- Odporúčame (ak to VPN služba umožňuje) nasadenie multifaktorovej autentifikácie
- Starostlivo spravujte databázu digitálnych certifikátov pre prístup k VPN (aktívne spravujte prístupy napríklad po ukončení pracovného pomeru zamestnanca)
- Odporúčame prevádzkovať server pre uchovávanie záznamov o sieťovej aktivite (Log Server) pre sieťové prvky a ostatné zariadenia na sieti a uchovávať ich najmenej 30 dní.
Ako na to?
Rôzni výrobcovia poskytujú svoje vlastné proprietárne riešenia SSL-VPN či L2TP/IPsec tunelov, ktoré dokážu efektívne a bezpečne vytvoriť prístup do podnikovej siete.
Ak neuvažujete nad kúpou proprietárneho riešenia, na vytvorenie VPN tunelu Vám postačí Váš správca siete, či bezpečnostný administrátor a dostupné open-source riešenia, či riešenia už v základe poskytované výrobcami sieťových prvkov, či Windows Server ako napríklad:
Protokol SSTP – Windows Server / sieťové prvky od rôznych výrobcov
OpenVPN – https://openvpn.net/
Wireguard – https://www.wireguard.com/
OpenSwan – https://openswan.org/
SoftEther – https://www.softether.org/
Ste organizácia/subjekt Verejnej/Štátnej správy a máte pochybnosti o dlhodobej bezpečnosti VPN riešenia?
VJ CSIRT v rámci zvyšovania kybernetickej bezpečnosti ponúka pre sektor Verejnej/Štátnej správy pravidelný manažment zraniteľností z pohľadu útočníka útočiaceho z verejného internetu.
Viac informácii o službe sa dozviete – https://www.csirt.gov.sk/registracia-achilles/
Odkazy:
https://www.securityweek.com/thousands-vnc-instances-exposed-internet-attacks-increase
https://securityaffairs.co/wordpress/134408/hacking/vnc-critical-infrastructures-at-risk.html