Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) wydało nowe ostrzeżenia dla użytkowników niektórych sieci VPN atakowanych przez chińską grupę piracką sponsorowaną przez państwo (APT5).
Jak informowaliśmy w zeszłym miesiącu, omawiane sieci VPN to Fortinet i Pulse Secure, a także Palo Alto VPN. Jak już widzieliśmy, poprawki dotyczące naruszeń bezpieczeństwa zostały opublikowane na początku tego roku, chociaż nie wszystkie firmy je wdrożyły, więc pozostają one podatne na ataki. do wykorzystania przez APT5 (lub innych cyberprzestępców).
Oczywiście, jeśli korzystasz z tych sieci VPN, mamy nadzieję, że zastosowałeś już odpowiednią poprawkę, ale jeśli tego nie zrobisz, powinno to być priorytetem.
Jednak po zainstalowaniu łatki NCSC opracowało dodatkowe środki mające na celu wykrycie, czy był on wykorzystywany, a także dodatkowe środki zaradcze.
Pierwszą kwestią, którą powinni rozważyć klienci tych sieci VPN, jest przejrzenie ich dzienników w poszukiwaniu jakichkolwiek kompromisów, zwłaszcza jeśli wyżej wymienione poprawki zostały zastosowane dopiero niedawno.
Organizacja dodaje: „Administratorzy powinni również szukać dowodów na wykorzystanie kont, takich jak nieprawidłowe lokalizacje lub programy IP”.
Tutaj NCSC zapewnia dodatkowe szczegóły dotyczące postępowania.
Administratorzy systemu, którzy podejrzewają możliwość wykorzystania lub włamania, powinni z oczywistych powodów zresetować dane identyfikacyjne administratora i użytkownika, co grozi kradzieżą.
Dodatkowe środki łagodzące.
Organizacja wyszczególnia również inne środki zaradcze dla tych, którzy wykryli, że ich VPN działa (lub tych, którzy zostali już zaatakowani przez APT lub innych cyberprzestępców). ).
Obejmuje to wprowadzenie uwierzytelniania dwuskładnikowego dla VPN, jeśli jest dostępne w usłudze, oraz wyłączenie funkcji (lub portów) nieużywanych przez VPN. Nazywa się to oczywiście zmniejszeniem obszaru zagrożenia: jeśli nie potrzebujesz sprzętu, możesz go wyłączyć, uniemożliwiając wszelkie możliwe wykorzystanie tej konkretnej funkcji.
Ponadto NCSC zauważa, że jeśli uważasz, że operacja została wykonana na urządzeniu, ale nie możesz znaleźć żadnych dowodów, bezpieczniejsze może być przywrócenie ustawień fabrycznych urządzenia.
Administrator systemu powinien również nadal przeglądać dzienniki VPN, a także cały ruch sieciowy przez VPN, szukając czerwonych flag, takich jak nietypowe połączenia adresów IP.
I oczywiście powinieneś sprawdzić konfigurację VPN, jak stwierdziła organizacja: „Sprawdź wszystkie opcje konfiguracji pod kątem nieautoryzowanych zmian. Obejmuje to plik register_keys SSH, nowe reguły iptables i polecenia uruchamiane na klientach łączących się. Jeśli masz dobre kopie zapasowe konfiguracji, możesz je przywrócić, więc przywracanie może być ostrożne”.
NCSC przypomina nam również, że wszelkie bieżące działania związane z tymi zagrożeniami VPN można zgłaszać za pośrednictwem strony internetowej organizacji.
- Prezentujemy również najlepsze usługi VPN 2019 roku