O Centro Nacional Norueguês de Segurança Cibernética (NCSC) recomenda a todos os administradores de rede que substituam as soluções SSL VPN/WebVPN por outras alternativas devido à exploração recorrente de vulnerabilidades relacionadas a dispositivos edge de rede corporativas.
O NCSC orienta que a mudança seja feita até 2025, enquanto as organizações ligadas à segurança nacional ou que operam infraestruturas críticas devem promover a alteração para uma alternativa mais seguras até o fim deste ano. A recomendação para usuários de produtos Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN) é mudar para Internet Protocol Security (IPsec) com Internet Key Exchange (IKEv2).
O SSL VPN e WebVPN fornecem acesso remoto seguro a uma rede pela internet usando protocolos SSL/TLS, o que, segundo o NCSC, protege a conexão entre o dispositivo do usuário e o servidor VPN usando um “túnel de criptografia”. Já o IPsec com IKEv2 protege as comunicações criptografando e autenticando cada pacote e usando um conjunto de IKE atualizados periodicamente.
“A gravidade das vulnerabilidades e a exploração repetida desse tipo de vulnerabilidade por hackers significa que o NCSC recomenda a substituição de soluções de acesso remoto que utilizam SSL/TLS por alternativas mais seguras. O NCSC recomenda O Internet Protocol Security (IPsec) com Internet Key Exchange (IKEv2)”, diz o anúncio do NCSC.
Embora admita que o IPsec com IKEv2 não está livre de falhas, O NCSC acredita que mudar para ele reduziria significativamente a superfície de ataque para incidentes de acesso remoto seguro devido à tolerância reduzida a erros de configuração em comparação com SSL VPN.O NCSC também compartilhou medidas provisórias para organizações cujas soluções VPN não oferecem a opção IPsec com IKEv2 e precisam de tempo para planejar e executar a migração. Isso inclui a implementação de registro centralizado de atividades de VPN, restrições rígidas de cerca geográfica e bloqueio de acesso de provedores de VPN, nós de saída Tor e provedores de VPS.
Outros países também recomendaram o uso do IPsec em relação a outros protocolos, incluindo os EUA e o Reino Unido.
Ao contrário do IPsec, que é um padrão aberto seguido pela maioria das empresas, o SSL VPN não possui um padrão, fazendo com que os fabricantes de dispositivos de rede criem sua própria implementação do protocolo. Isso levou a vários bugs descobertos ao longo dos anos nas implementações de SSL VPN da Cisco, Fortinet e SonicWall, que os hackers exploram ativamente para violar redes. Por exemplo, a Fortinet revelou em fevereiro que o grupo de hackers chinês Volt Typhoon explorou duas falhas de SSL VPN do FortiOS para violar organizações, incluindo uma rede militar holandesa.
Em 2023, as operações de ransomware Akira e LockBit exploraram uma VPN SSL de dia zero em roteadores Cisco ASA para violar redes corporativas, roubar dados e criptografar dispositivos. No início daquele ano, uma vulnerabilidade do Fortigate SSL VPN foi explorada como um dia zero contra o governo, a indústria e a infraestrutura crítica.
Veja isso
Fortinet diz que falha no SSL-VPN de dia zero está corrigida
OpenSSL anuncia correção para vulnerabilidade crítica
As recomendações do NCSC surgem depois que a organização alertou recentemente sobre um operador de ameaça avançado que explora múltiplas vulnerabilidades de dia zero em VPNs Cisco ASA usadas em infraestruturas críticas desde novembro de 2023. A Cisco divulgou a campanha específica como ArcaneDoor, atribuindo-a ao grupo de ameaças rastreado como UAT4356 ou STORM-1849, que obteve acesso a sessões WebVPN associadas aos serviços SSL VPN do dispositivo.
Os ataques envolveram a exploração de dois dias zero, nomeadamente CVE-2024-20353 e CVE-2024-20359, que permitiram aos hackers contornar a autenticação, assumir o controlo de dispositivos e elevar privilégios para direitos administrativos.Embora a Cisco tenha corrigido as duas vulnerabilidades em 24 de abril, a empresa de segurança cibernética e equipamentos de rede não conseguiu identificar como os atores da ameaça inicialmente obtiveram acesso ao dispositivo.
