آژانس های جاسوسی در ایالات متحده و انگلیس به طور مشترک هشدار می دهند برای بسیاری از کاربران VPN های شرکت. گروه های هکر – که برخی از آنها دارای حمایت مالی هستند- در سایت هایی که هنوز نصب های خود را انجام نداده اند ، ویران می شوند.

آژانس ها – NSA و NCSC – برای لذت مدیر شما ، لیست های طولانی اصلاح را دارند. بنابراین همه چیز را رها کنید – حتی اگر VPN خود را قبلاً پیاده کرده باشید.

انگار شما کاری بهتر از این ندارید. در [هفتهگذشته Blogwatch Security ، ما به CVE مجوز داده ایم.

Blogwatcher فروتنانه شما این سرفصل های وبلاگ را برای سرگرمی شما تنظیم کرد. ناگفته نماند: drinkybird.

[ Explore the challenges and opportunities facing SOCs in TechBeacon’s new guide, based on the 2019 State of Security Operations report. ]

توجه كن ، 007

هری هشدار چیست؟ لیام تونگ این هشدار را دارد؟ VPN کاربران— اکنون پچ ، به آژانس جاسوسی هشدار می دهد:

اگر کارمندان شما از… VPN از Fortinet ، Palo Alto یا Pulse Secure استفاده می کنند ، شما واقعاً باید محصولات را لک بزنید و به دنبال علائم سازش باشید. … گروهی از هکرهای تحت حمایت دولت چینی موسوم به APT5 به سرورهای شرکت VPN حمله می کنند.

نقص VPN به مهاجمان اجازه می دهد تا اعتبار احراز هویت را بدست آورند که می تواند برای اتصال به VPN و تغییر تنظیمات پیکربندی یا امتیازات استفاده از سوء استفاده های اضافی را برای به دست آوردن پوسته ریشه فراهم کنید. … مرکز امنیت سایبری ملی انگلیس (NCSC) ، واحد آژانس جاسوسی انگلستان GCHQ … به سازمانها توصیه می کند … کلیه تنظیمات VPN را بررسی کنید و بررسی هایی را در سیاهههای مربوط به سرویس هایی مانند ایمیل که کاربران از طریق VPN به شبکه وصل می شوند ، انجام دهید. همچنین ممکن است دستگاههای پاک کننده را به خطر بیاندازد.

نه تنها NCSC ، بلکه NSA. Davey Winder مانند یک فنر کویل است. دولت اکنون به روز رسانی می کند هشدار:

هر دو سازمان دولتی ایالات متحده و انگلیس اقدام غیرعادی در صدور اخطار نادر اکنون به روزرسانی کرده اند … در مورد یک تهدید سایبری مهم از تهدید مداوم پیشرفته ( APT) مهاجمان. … همانطور که اغلب اتفاق می افتد ، این هشدارهای رسمی دولت در شرایطی رخ می دهد که آسیب پذیری هایی که برای مدتی شناخته شده است ، با وجود در دسترس بودن رفع ، [with] سوء استفاده های مداوم باعث نگرانی می شوند.
… [
و فعالیت بهره برداری با اهداف بین المللی در بخش های دانشگاهی ، تجاری ، دولتی ، بهداشتی و درمانی ادامه می یابد. … FortiGuard Labs، Palo Alto Networks and Pulse Secure [have] همه مشاوره صادر شده با توصیه های قوی برای به روزرسانی ، [but] به نظر می رسد که این مشاوره توسط سازمان های کافی دنبال نشده است.
… [
هر دو آژانس توصیه می کنند. استفاده از احراز هویت چند عاملی به عنوان یک اقدام سخت کننده سطح حمله ، و غیرفعال کردن عملکردها و خدمات استفاده نشده برای کاهش سطح حمله.

NSA؟ هیچ آژانس اینگونه نیست. اوه ، صبر کنید کاهش آسیب پذیری های اخیر VPN:

بازیگران چند کشور با تهدید مداوم و پیشرفته تهدید مداوم (APT) برای دستیابی به آسیب پذیرها اسلحه های CVE-2019-11510 ، CVE-2019-11539 و CVE-2018-13379 را مسلح کرده اند. دستگاه های VPN. … CVE-2019-11508… CVE-2019-11538… CVE-2019-1579.

اگر پیش از این یک بازیگر مخرب از آسیب پذیری در جمع آوری مدارک معتبر سوءاستفاده می کرد ، این اعتبارنامه ها پس از وصله همچنان معتبر هستند. NSA توصیه می کند که اعتبار خود را بعد از به روزرسانی یک دستگاه VPN آسیب پذیر و قبل از اتصال مجدد آن به شبکه خارجی ، مجدداً تنظیم کنید. … کلیدها و مجوزهای جدید سرور VPN را لغو و تولید کنید. این ممکن است نیاز به توزیع مجدد اطلاعات اتصال VPN به کاربران داشته باشد.

استفاده از پروتکل های اختصاصی SSLVPN / TLSVPN را نادیده بگیرید. انتقال … به TLS مطابق با استاندارد IETF برای موارد استفاده یک بار یا به IKE / IPsec VPN.

از استفاده از گواهی های کارت امضاء شده و کارت های وحشی خودداری کنید. … بطور دوره ای گواهی های قانونی را بچرخانید و به روز کنید. … نیاز به تأیید اعتبار مبتنی بر گواهی [and] احراز هویت چند عاملی. … اجازه ندهید که سرپرستان VPN از طریق VPN روبرو شوند به رابط مدیریت وارد شوند.

اگر به سازش مشکوک هستید ، حساب ها را بررسی کنید تا اطمینان حاصل شود که هیچ حساب جدیدی توسط مخالفان ایجاد نشده است.

NCSC؟ اکنون ، بخش. امنیت ، کریکی: [You’re fired—Ed.]

آسیب پذیری در چندین محصول SSL VPN وجود دارد که به یک مهاجم اجازه می دهد پرونده های دلخواه خود را بازیابی کند. … اتصال غیر مجاز به یک VPN همچنین می تواند امتیازات لازم برای اجرای بهره برداری های ثانویه را برای مهاجم فراهم کند.

مؤثرترین راه برای کاهش خطر بازیگران سوءاستفاده از این آسیب پذیری ها ، اطمینان از وصله گذاری محصولات تحت تأثیر است. آخرین به روز رسانی های امنیتی Pulse Secure ، Fortinet و Palo Alto برای این آسیب پذیری ها تکه هایی را منتشر کرده اند.

تکه های امنیتی همیشه باید به سرعت اعمال شود. … وصله همیشه ساده نیست و در بعضی موارد می تواند باعث ایجاد اختلال در تجارت شود ، اما مهمترین قدم است که یک سازمان یا فرد می تواند برای محافظت از خود برداشته باشد.

تمام گزینه های پیکربندی را برای تغییرات غیرمجاز بررسی کنید. … اگر از پیکربندی پشتیبان شناخته شده خوب استفاده کرده اید … پس بازگرداندن این موارد ممکن است محتاطانه باشد. … اگر مشکوک هستید که استثمار رخ داده است ، اما نمی توانید شواهد خاصی از تغییرات ایجاد شده پیدا کنید ، ممکن است بخواهید دستگاه خود را مجدداً ریست کنید (یا پاک کنید).

Yikes. تمام این بحث در مورد "اختلال در تجارت" و "توزیع مجدد اطلاعات اتصال VPN به کاربران" به نظر می رسد که یک دستور العمل برای جهنم IT است. بنابراین raytracer78 تقصیر را برطرف می کند:

من سعی کردم HR را با توجه به زمان اتصال IT با استخدام های اخیر درگیر کنم. برخی از این افراد قبلاً از لپ تاپ استفاده نکرده اند ، هیچ مفهومی برای استفاده از VPN نداشتند ، هنگام تماشای آنها از رایانه به نظر می رسید که آنها نمی دانند چگونه از ماوس یا نوع استفاده کنند.

اگرچه لوک فرعون آرزو می کند VPN ها شروع کنند:

VPN ها زحمتی برای کاربران و سرپرستان هستند. برای همه راحت تر خواهد بود … اگر همه برنامه های داخلی فقط در اینترنت عمومی بودند.

VPN ها یک کمک / کار هستند که برای "ما تأیید هویت و مجوز قوی در همه سرویس ها ندارند". خوب است ، همه نمی توانند [that] انجام دهند ، و می توانند در مقابل مهاجم ناشناس مقداری ایمنی ارائه دهند. … اما خیلی اوقات محیط های IT را به یک احساس امنیتی غلط فریب می دهند.

کمک های باند به خودی خود چیز بدی نیستند. با این حال ، VPN وضعیت نهایی ایده آل نیست. حتی اگر شما نمی توانید برنامه اصلی را تغییر دهید ، هدف باید این باشد که "با یک پروکسی معکوس که authn / مقداری از authz را کنترل می کند ، بسته شوید تا بتوانید خطر را به حداقل برسانید."

VPNs … از شما در مقابل مهاجمی که قادر به ایجاد خطر در یک نقطه پایانی در محیط شرکت شما نیست ، محافظت نکنید.

اما اگر به VPN احتیاج دارید ، و می خواهید از یکی از محصولات ذکر شده جلوگیری کنید ، thawkth دارای یک Thuggethtiontion:

قطع دسترسی دسترسی OpenVPN. تنظیم و استقرار بسیار آسان ، هزینه مجوز بسیار مناسب ، می تواند آن را با استفاده از یک مخزن در لینوکس راه اندازی کند یا تصویر VMware / hyperv را مستقر کند

ما تقریباً پنج سال است که آن را بدون هیچ شکایتی عمده در تولید آن اجرا کرده ایم. بزرگترین مسئله در حال حاضر عدم پشتیبانی چند عاملی خوب است.

اگرچه به معنای واقعی کلمه فقط به دسترسی RDP نیاز دارید می گویم که چیزی مانند یک دروازه RD ممکن است معقول تر شود. VPN می تواند بیش از حد جدی باشد و یک مسئله امنیتی بزرگتر است.

اما چرا NSA باید سرگرم کننده باشد؟ Catalin Cimpanu Bureau— را آورده است FBI در مورد تعویض سیم و ابزارهایی مانند مورن و هشدار می دهد؟ NecroBrowser:

دفتر تحقیقات فدرال ایالات متحده [sent] مشاوره امنیتی برای شرکای صنعت خصوصی در مورد تهدید روز افزون حملات علیه سازمان ها و کارمندان آنها که می توانند راه حل های تأیید هویت چند عاملی (MFA) را دور بزنند. … هشدار FBI به طور خاص در مورد تعویض سیم کارت ، آسیب پذیری در صفحات آنلاین با استفاده از عملیات MFA و استفاده از پروکسی های شفاف مانند موراون و NecroBrowser هشدار داد.

FBI می خواهد کاربران از راه حل های MFA آگاه باشند که مجرمان سایبری اکنون راه های اطراف [it] را داشته باشید. علیرغم افزایش تعداد حوادث و ابزارهای حمله که قادر به دور زدن MFA هستند ، این حملات بسیار باورنکردنی هستند و در مقیاس خودکار انجام نشده اند.

کاربران باید راه حل MFA قوی تری را انتخاب کنند که در برابر آسیب پذیری اجتماعی نباشد. ترفندهای مهندسی مانند تعویض سیم یا پروکسی شفاف که می تواند نشانه MFA را رهگیری کند.

اکنون همه با هم هستند. دیوید A. گاتوود شعار می دهد که یک فاکتور پیامکی نیست 2FA:

اگر عامل دوم تلفن شماست ، شما در واقع 2FA ندارید. بعلاوه ، عامل دوم نمی تواند همان دستگاهی باشد که برای ورود به سیستم از آن استفاده می کنید ، زیرا این همان دستگاه فیزیکی است که دستگاه دسترسی به فاکتور اول (رمز عبور) دارد.

در همین حال ، Thomas H پتهك آرزو دارد طاعوني در تمام خانه هاي خود داشته باشد:

محصولات شركت تجارتي VPN يك فاضلاب باز هستند و من به هر فروشنده نياز ندارم كه به آن اعتماد كنم. من OpenVPN یا strongSwan را دوست ندارم ، اما شما بهتر از این هستید که با یک وسیله تجاری VPN تجاری باشید.

اخلاق داستان؟

به دنبال علائم سازش باشید. سپس VPN خود را از مدار (تنها راه اطمینان) قرار دهید.

[ Effective SecOps requires staying one step ahead. Get up to speed with this Webinar covering UEBA and MITRE ATT&CK ]

و سرانجام

نوشیدن پرنده خوش شانس
[19659004]

شما Blogwatch Security را ریچی جنینگز خوانده اید. ریچی بهترین مطالب وبلاگ ، بهترین انجمن ها و عجیب ترین وب سایت ها را تنظیم می کند … بنابراین مجبور نیستید. ایمیل متنفر ممکن است به RiCHi یا [email protected] هدایت شود. قبل از خواندن از پزشک خود سؤال کنید. مسافت پیموده شده شما ممکن است متفاوت باشد. E&OE.

منبع تصویر: مایکل شوارتزنبرگر (پیکسابای)

[ Find out how to take control of credentials privilege in your organization in this Oct. 31 Webinar. You’ll learn best practices, more. ]

.