Ataques de VPN só aumentarão, segundo Akamai. Durante o Black Hat USA 2024, Ori David, da Akamai, revelou novas técnicas de pós-exploração de VPN que abrem o vetor de ataque para agentes de ameaças de todos os níveis de habilidade.
Após um ano de ataques significativos a VPN, a Akamai disse que a ameaça só vai aumentar e se tornar mais acessível a agentes de ameaças de todos os níveis de habilidade.
Durante o Black Hat USA 2024 na quarta-feira, Ori David, pesquisador sênior de segurança da Akami, liderou uma sessão intitulada “Visão de túnel: explorando técnicas de pós-exploração de VPN“. Durante a sessão, David demonstrou técnicas de pós-exploração que abririam o vetor de ameaça não apenas para agentes de estados-nação, mas também para invasores menos sofisticados.
David focou sua pesquisa nos produtos Ivanti e Fortinet VPN, que sofreram ataques significativos no ano passado. Por exemplo, em janeiro, um ator de ameaça de estado-nação chinês explorou duas vulnerabilidades de dia zero da Ivanti , que foram amplamente exploradas após a divulgação pública. O problema era tão grave que, em abril, o CEO da Ivanti, Jeff Abbott, emitiu uma declaração sobre como a empresa planejava reformular seus processos e estratégias internas.
No ano passado, a Fortinet sofreu vários ataques contra sua VPN SSL, incluindo um rastreado como CVE-2023-27996, que recebeu uma pontuação CVSS de 9,8.
Além disso, agências governamentais revelaram no início deste ano que o ator estatal chinês Volt Typhoon obteve acesso inicial às organizações vítimas explorando vulnerabilidades conhecidas ou de dia zero em VPNs e outros dispositivos de ponta, como roteadores e firewalls. Mais alarmante ainda, o Volt Typhoon estava à espreita em alguns ambientes de vítimas por pelo menos cinco anos antes de ser detectado.
“O ano passado foi bem difícil para a segurança de VPN. Parecia que literalmente todo mês, uma vulnerabilidade crítica era descoberta em um dos principais serviços de VPN do mercado, e essas vulnerabilidades frequentemente levavam à exploração em massa”, disse David durante a sessão.
David enfatizou que a atividade de pós-exploração de VPN permite aos invasores um nível significativo de acesso, mas pode ser caro de executar, razão pela qual geralmente é limitada a atores de estados-nação. No entanto, ele experimentou produtos Ivanti e Fortinet VPN e encontrou técnicas que atores menos sofisticados poderiam alavancar contra organizações de vítimas. Para fazer isso, ele usou técnicas de living off the land (LOTL), que é uma tendência crescente entre atores de ameaças como o Volt Typhoon. Essas técnicas envolviam atores de ameaças abusando de produtos legítimos e ferramentas existentes nas redes das vítimas para evitar a detecção.
Durante a pesquisa, ele testou os produtos Ivanti e Fortinet sob a suposição de que os agentes de ameaças tinham acesso à interface de gerenciamento. A partir daí, ele abusou do Lightweight Directory Access Protocol (LADP), que na maioria dos casos fornecia acesso ao Windows Active Directory (AD) onde as credenciais são armazenadas.
“Descobri uma maneira de exploração de VPN post para invasores de todos os níveis”, disse David. “Se um LADP normal for usado, credenciais de texto simples serão enviadas do servidor. Se um invasor controlar sua VPN, ele poderá comprometer qualquer credencial LADP.”
Ele também descobriu que segredos dentro da VPN, como chaves SSH, senhas de usuário e outras credenciais, não estavam adequadamente protegidos. Por exemplo, o recurso de chave de criptografia personalizada da Fortinet é desabilitado por padrão, o que ele disse ser preocupante porque todos os administradores podem não estar cientes.
David também encontrou uma maneira de ignorar o recurso de chave personalizada da Fortigate, mesmo que os clientes o habilitem. Em 2019, um pesquisador de segurança descobriu que a Fortinet estava usando uma única chave de criptografia codificada para proteger todos os segredos em todos os dispositivos Fortigate. Enquanto o fornecedor emitiu uma correção que permite que os clientes mudem para uma chave personalizada, David descobriu que os invasores poderiam simplesmente desabilitar o recurso com acesso de administrador e reverter o produto de volta para uma única chave codificada.
“É trivial extrair segredos”, disse David. “Um invasor com controle de VPN pode facilmente obter qualquer segredo do arquivo de configuração.”
Ele enfatizou que essas técnicas já foram observadas na natureza. Por exemplo, ele se referiu a uma pesquisa que mostrou que os invasores se moveram lateralmente para comprometer o AD após a exploração de VPN. “Os invasores já estão usando essas técnicas, e é apenas uma questão de tempo até que agentes de ameaças menos sofisticados os alcancem”, disse David. “Veremos coisas semelhantes em outros produtos [além de Ivanti e Fortinet] também.”
David relatou os problemas e vulnerabilidades para Ivanti e Foritnet, e ele disse que os fornecedores estão trabalhando em correções. Ivanti planeja lançar dois patches em outubro, ele disse.
Para combater a ameaça, David pediu que as empresas coletassem e analisassem logs, bem como monitorassem as alterações de configuração. Ele também recomendou limitar as permissões de conta de serviço e implementar acesso de confiança zero. “Agentes de ameaças estão vindo para sua VPN. Eles podem fornecer muito mais do que acesso à rede”, disse David.
Patrick Sullivan, CTO de estratégia de segurança da Akamai, enfatizou que adversários de todos os níveis, desde atores estatais-nação até abaixo, têm afinidade por atacar dispositivos de ponta.
“Agora, até mesmo os agentes de ransomware [estão mirando VPNs]. Se você encontrar uma vulnerabilidade em um dispositivo de ponta que é implantado em milhares de organizações, você não precisa fazer engenharia social em alguém em cada organização. Houve uma mudança da engenharia social para um foco maior em vulnerabilidades, o que também aconteceu no ransomware“, disse Sullivan.
Catherine Lyle, chefe de reivindicações e resposta a incidentes para cibernética na seguradora Tokio Marine, liderou outra sessão Black Hat na quarta-feira sobre tendências de seguro cibernético. Durante a sessão, ela revelou que VPNs sem proteção MFA substituíram o Remote Desktop Protocol (RDP) como o segundo vetor de intrusão inicial mais usado em 2024.
“Se você sair sem mais nada, VPN sem MFA é o novo RDP”, disse ela. “VPNs desprotegidas são o novo vetor de ataque por causa do número de vulnerabilidades, do cenário, do tamanho e da facilidade. Uma vez dentro, você tem as chaves do reino.”
Por: Arielle Waldman é uma repórter de Boston que cobre notícias de segurança empresarial , publicado originalmente em TechTarget
Veja também:
- Vulnerabilidade do Microsoft Entra ID (Azure AD)
- Usando 1Password no Mac? Aplique o patch urgente
- Qual é a diferença entre monitoramento e observabilidade?
- Riscos de ataques cibernéticos podem diminuir
- Febraban oferece curso gratuito em tecnologia e cibersegurança
- Crescem ferramentas maliciosas baseadas em IA
- Precisamos falar sobre a tecnologia obsoleta em cibersegurança
- Pedido de resgate de dados atinge grandes corporações
- I.A. e os desafios dos Sistemas Liveness
- Segundo país mais visado por Cibercriminosos
- Líderes de TI afirmam que a gravidade dos ataques aumentaram
- O que o jurídicos precisam saber sobre ataques de ransomware
Deixe sua opinião!