VPN bugün pek çok kişinin “gizlilik” ya da “erişim engelli sitelere ulaşım” amaçlı olarak kullandıkları servisler ama dikkat; 2 farklı istihbarat ajansı bu ay içinde uyarı yayınladılar. VPN servislerinin bazılarındaki açıkları yayınladılar. Bu uyarılarda devlet destekli siber korsanların bu açıkları kullandıkları kaydediliyor. Ancak amaç, devlet ya da hangi grup olduğu gibi detaylar verilmedi.
İlk uyarıyı ABD Ulusal Güvenlik Ajansı (NSA) yaptı. Devlet destekli siber korsanların, Pulse Secure, Palo Alto Networks ve Fortinet’in ürünlerindeki çeşitli VPN açıklarını aktif olarak kullandıkları konusunda uyardı.
NSA ayın başında yayınladığı bülteninde daha önce açıklanmış bu 3 VPN açığına işaret etti ve kullanıcılarının acilen yama güncellemesi yapması gerektiği uyarısı yaptı. Bu açıkların özellikle devlet destekli saldılarda kullanılan hedef odaklı saldırı (APT) olduğu not edildi [1].
İngiliz Ulusal Siber Güvenlik Merkezi (NCSC) de yayınladığı bültende aynen VPn açıklarına işaret etti. Hükümet, askeri, akademik, iş ve sağlık olmak üzere çeşitli sektörlerde saldırıların olduğunu söyledi. NCSC ayrıca İngiltere’deki yüzlerce VPN sunucusunun bu saldırılara karşı savunmasız olabileceğini belirtti.
VPN açıkları , Pulse Secure’un Pulse Connect Secure ve Pulse Policy Secure ürünlerindeki CVE-2019-11539 ve Palo Alto GlobalProtect VPN’i etkileyen CVE-2019-11539 ile iki uzak kod yürütme hatası ve Palo Alto GlobalProtect VPN’i etkileyen CVE-2019-1579’u içeriyor. Kötü amaçlı indirmelere izin verebilir.
Ek olarak, CVE-2019-11510, aynı Pulse Secure ürünlerinde uzaktan dosya indirmelye izin veriyor ve CVE-2018-13379, doğrulanmamış kullanıcıların Fortinet’in FortiGate VPN’de özel hazırlanmış HTTP kaynak istekleri yoluyla sistem dosyalarını indirmesine izin veriyor.
NSA, tavsiyesinde, kötü niyetli aktörlerin “Metasploit Framework ve GitHub aracılığıyla çevrimiçi olarak ücretsiz olarak erişilebilen” Pulse Secure kusurları için istismar kodu kullandığını belirtti.
Bu güvenlik açıklarına ek olarak, NCSC, Fortigate: CVE-2018-13382’de, kimliği doğrulanmamış bir kullanıcının bir VPN web portalı kullanıcısının şifresini değiştirmesine izin veren diğer iki kusuru ve bir yığın taşması olan CPN-2018-13382’yi vurguladı. uzaktan kod yürütülmesine izin verebilecek güvenlik açığı. NCSC bu kusurların canlı ortamda saldırı altında olup olmadığını söylemedi.
İki bültende yer alan VPN açıklarının tümü, daha önce açıklanmıştı ve ilgili satıcıları tarafından yamalandı.
NSA, tüm kullanıcı, yönetici ve servis hesabı kimlik bilgilerinin güncellenmesini tavsiye etti; eski VPN sunucusu anahtarlarını ve sertifikalarını iptal etmek ve değişiklik yapmak; ve hiçbir yeni, sahte hesap oluşturulmamış olduğundan emin olmak için tüm hesapları incelemek gerektiğini kaydetti.
NSA ayrıca, VPN hesapları için çok faktörlü kimlik doğrulama kullanımı, VPN kullanıcı etkinliği için günlüğe (log) kaydetme ve halka açık VPN’lerin ağ trafiği şifreleme ve sertifika tabanlı kimlik doğrulama için güçlü TLS kullanmasını gerektirme gibi çeşitli teknikleri önerdi
[1] MITIGATING RECENT VPN VULNERABILITIES
[2] Vulnerabilities exploited in VPN products used worldwide
Kaynak : 