За последний год хакерские взломы VPN значительно выросли, компания Akamai прогнозирует, что угроза будет только возрастать и становиться более доступной для злоумышленников любого уровня.
На конференции Black Hat USA 2024 старший исследователь безопасности Ori David из Akamai провел сессию под названием «Tunnel Vision: Exploring VPN Post Exploitation Techniques.» В ходе выступления он продемонстрировал методы пост-эксплуатации, которые могут быть использованы не только государственными хакерами, но и менее квалифицированными злоумышленниками.
Исследования Дэвида сосредоточились на продуктах VPN от Ivanti и Fortinet, которые за последний год подверглись значительным атакам. Например, в январе китайская хакерская группа воспользовалась двумя уязвимостями нулевого дня в Ivanti, что привело к их массовой эксплуатации после публичного раскрытия.
Дэвид подчеркнул, что пост-эксплуатационная активность в VPN предоставляет злоумышленникам значительный доступ, но обычно она ограничивается государственными хакерами из-за высокой стоимости выполнения таких атак. Однако, в своих экспериментах с продуктами Ivanti и Fortinet, он нашел способы, которые могут быть использованы менее квалифицированными актерами. Дэвид использовал методы «living off the land» (LOTL), когда злоумышленники используют легитимные продукты и инструменты на сетях жертв для уклонения от обнаружения.
Обнаруженные уязвимости VPN
В процессе исследования он обнаружил, что конфиденциальные данные, такие как SSH-ключи и пароли пользователей, недостаточно защищены внутри VPN. Например, функция пользовательского ключа шифрования Fortinet отключена по умолчанию, что представляет угрозу, так как администраторы могут быть не в курсе этого, уточнили в vpnРоссия.
Он также выяснил, что даже при включении этой функции злоумышленники могут ее обойти и вернуть продукт к использованию одного жестко закодированного ключа шифрования.
Извлечь секретные данные достаточно просто. Злоумышленник с контролем над VPN может легко получить любой секрет из файла конфигурации.»
Ori David
«Извлечь секретные данные достаточно просто,» — заявил Дэвид. «Злоумышленник с контролем над VPN может легко получить любой секрет из файла конфигурации.»
Дэвид призвал предприятия собирать и анализировать логи, мониторить изменения конфигураций, ограничивать права учетных записей и внедрять доступ с нулевым доверием. Patrick Sullivan, CTO по вопросам безопасности в Akamai, добавил, что даже киберпреступники теперь нацелены на уязвимости в пограничных устройствах, таких как VPN.
Кроме того, во время другой сессии на Black Hat, Catherine Lyle из Tokio Marine отметила, что в 2024 году VPN без MFA стали вторым по популярности методом первоначального вторжения, заменив RDP.
«VPN без MFA — это новые RDP,» — подчеркнула она.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Пётр Ильин — главный редактор проекта vpnРоссия, эксперт с более чем 10-летним опытом в области кибербезопасности и технологий VPN. Он руководит редакционной командой, обеспечивая высокое качество и объективность обзоров ВПН-сервисов. Петр активно просвещает аудиторию о важности приватности в интернете и безопасности данных, а также разрабатывает образовательные материалы на доступном языке.