18 may 2024

Recomendación: reemplazar VPN SSL para evitar violaciones

Debido a la explotación repetida de vulnerabilidades relacionadas en los dispositivos de red Edge para violar las redes corporativas, el Norwegian National Cyber Security Center (NCSC) recomienda reemplazar las soluciones SSLVPN/WebVPN por alternativas actualizadas.

La organización recomienda que la transición se complete para 2025, mientras que las organizaciones sujetas a la "leyes de seguridad" o las de infraestructura crítica deben adoptar alternativas más seguras a fines de 2024.

La recomendación oficial de NCSC para los usuarios de productos de red privada Virtual Secure Socket Layer (SSL VPN/WebVPN) es cambiar a Internet Protocol Security (IPSEC) con Internet Key Exchange (IKEV2).

SSL VPN y WebVPN proporcionan un acceso remoto seguro a una red a través de Internet utilizando protocolos SSL/TLS, asegurando la conexión entre el dispositivo del usuario y el servidor VPN utilizando un "túnel de cifrado".

IPSEC con IKEV2 asegura las comunicaciones cifrado y autenticando cada paquete utilizando un conjunto de KE renovado periódicamente

"La gravedad de las vulnerabilidades y la explotación repetida de este tipo de vulnerabilidad por parte de los actores significa que el NCSC recomienda reemplazar las soluciones para el acceso remoto seguro que usan SSL/TLS con alternativas más seguras. NCSC recomienda la seguridad del protocolo de Internet (IPSEC) con el intercambio de claves de Internet. (IKev2)", dice el anuncio de NCSC.

Si bien la organización de ciberseguridad admite IPSEC con IKEv2 no está libre de defectos, cree que cambiar a ella reduciría significativamente la superficie de ataque para incidentes de acceso remoto seguros debido a tener una tolerancia reducida para los errores de configuración en comparación con SSLVPN.

Las medidas de implementación propuestas incluyen:

  • Reconfigurar las soluciones VPN existentes o reemplazarlas
  • Migrar a todos los usuarios y sistemas protocolos nuevos y actuales
  • Deshabilitar la funcionalidad SSLVPN y bloquear el tráfico TLS entrante
  • Uso de autenticación basada en certificados
  • Cuando no son posibles las conexiones IPSEC, el NCSC sugiere usar la banda ancha 4G/5G.

Mientras tanto, NCSC también ha compartido medidas provisionales para organizaciones cuyas soluciones VPN no ofrecen el IPSEC con la opción IKEv2 y necesitan tiempo para planificar y ejecutar la migración.

Estos incluyen implementar el registro de actividad VPN centralizado, las estrictas restricciones de Geo Fencing y bloquear el acceso de los proveedores de VPN, los nodos de salida de TOR y los proveedores de VPS.

Otros países también han recomendado usar IPSEC sobre otros protocolos, incluidos Estados Unidos y el Reino Unido.

Abundancia de fallas SSLVPN explotadas

A diferencia de IPSEC, que es un estándar abierto que la mayoría de las empresas siguen, SSLVPN no tiene un estándar, lo que hace que los fabricantes de dispositivos de red creen su propia implementación del protocolo.

Sin embargo, esto ha llevado a numerosos errores descubiertos a lo largo de los años en las implementaciones de SSL VPN de Cisco, Fortinet y Sonicwall que los piratas informáticos explotan activamente para violar las redes.

Como ejemplo, Fortinet reveló en febrero que el grupo chinos de Volt Typhoon hacking group explotó dos fallas de VPN Fortios SSL para violar las organizaciones, incluida una red militar holandesa.

En 2023, las operaciones de ransomware Akira y Lockbit explotaron un día cero SSL VPN en enrutadores Cisco ASA para violar las redes corporativas, robar datos y dispositivos cifrados.

A principios de ese año, una vulnerabilidad de FortiGate SSL VPN fue explotada como un Zero-Day contra el gobierno, la fabricación y la infraestructura crítica.

Las recomendaciones de NCSC se producen después de que la organización alertó recientemente sobre un actor de amenaza avanzada que explota múltiples vulnerabilidades de día cero en Cisco ASA VPNS utilizadas en infraestructura crítica desde noviembre de 2023.

Cisco reveló la campaña en particular como "Arcanedoor", atribuyéndolo al grupo de amenazas rastreado como 'UAT4356' o 'Storm-1849', quien obtuvo acceso no autorizado a las sesiones de WebVPN asociadas con los servicios de VPN SSL del dispositivo.

Los ataques involucraron la explotación de dos días cero, a saber, CVE-2024-20353 y CVE-2024-20359, lo que permitió a los piratas informáticos lograr el derivación de la autenticación, la adquisición del dispositivo y la elevación de privilegios a los derechos administrativos.

Aunque Cisco fijó las dos vulnerabilidades el 24 de abril, la firma de equipos de seguridad cibernética y de redes no pudo identificar cómo los actores de amenaza inicialmente obtuvieron acceso al dispositivo.

Fuente: BC

Suscríbete a nuestro Boletín

1 comentario:

  1. "... Si bien la organización de ciberseguridad admite IPSEC con IKEv2 no está libre de defectos, cree que cambiar a ella reduciría significativamente la superficie de ataque ...", o sea, migremos solo por una cuestión de fé,

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!