L'anno scorso è stato un continuo gioco di briscola con le vulnerabilità delle VPN, lasciando le organizzazioni che utilizzano sistemi di accesso remoto obsoleti molto aperte a potenziali attacchi informatici. Gli hacker stanno sfruttando falle critiche nel software di tutti i giorni, dalle VPN - come le CVE di Ivanti ad alta gravità e gli eventi di Fortinet FortiVPN - ai firewall come PAN-OS di Palo Alto Networks e alle applicazioni di messaggistica come Telegram. Consentendo agli avversari di assumere il controllo completo dei dispositivi attraverso l'esecuzione di codice remoto o di bloccare l'accesso ai dispositivi con attacchi Denial-of-Service (DoS), queste vulnerabilità mettono a rischio i suoi dati preziosi.
Nel dicembre 2023, gli hacker sostenuti dallo Stato cinese hanno sfruttato le vulnerabilità zero-day (CVE-2023-46805 & CVE-2023-21887) nei prodotti Ivanti VPN, consentendo l'accesso non autorizzato attraverso il bypass dell'autenticazione e il controllo remoto attraverso l'iniezione di comandi a distanza. Anche dopo il rilascio delle patch, gli aggressori hanno trovato nuove vulnerabilità (CVE-2024-21888) per aggirare le correzioni e continuare le loro attività dannose.
Lo scorso febbraio, l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha lanciato l'allarme per un altro attacco VPN. Questa volta, l'obiettivo erano le appliance di sicurezza Cisco ASA, che combinano firewall, antivirus, prevenzione delle intrusioni e funzionalità VPN virtuali. Il colpevole era una vulnerabilità nota (CVE-2020-3259) sfruttata dal gruppo ransomware Akira, che attacca sia i sistemi Windows che Linux. L'organizzazione di criminalità informatica ha approfittato di configurazioni errate di WebVPN/AnyConnect per rubare i dati.
La vulnerabilità più recente proviene da Palo Alto Networks. Questo zero-day critico, tracciato come CVE-2024-3400, ha un impatto sul prodotto GlobalProtect VPN del fornitore. La falla di sicurezza critica riscontrata in Palo Alto Networks PAN-OS consente agli aggressori di ottenere il pieno controllo con privilegi di root del firewall stesso e della connettività VPN che facilita, il tutto senza richiedere un nome utente e una password. Per dirla in parole povere, questa minaccia zero-day ha il punteggio di gravità più alto possibile: 10 su 10.
Nell'articolo di scoperta iniziale pubblicato da Volexity, la ricerca ha rilevato che l'attaccante si concentrava sull'esportazione dei dati di configurazione dai dispositivi e poi li sfruttava come punto di ingresso per muoversi lateralmente all'interno delle organizzazioni prese di mira.
Questi attacchi ripetuti che utilizzano exploit zero-day evidenziano una tendenza preoccupante: il problema risiede nell'architettura obsoleta delle VPN stesse, non in un particolare fornitore.
Figura 1. Il CISA ha rilasciato un avviso che conferma lo sfruttamento attivo iniziato sfruttando la vulnerabilità di Palo Alto Networks.
Perché si verificano questi incidenti?
Negli ultimi anni, i prodotti SSL VPN sono stati presi di mira da un'ampia gamma di attori delle minacce, sia criminali informatici con motivazioni finanziarie che hacktivisti di Stati nazionali. Come si spiega questo fenomeno? La risposta è relativamente semplice: Le VPN SSL possono rappresentare un punto di ingresso per accedere a un tesoro di dati aziendali preziosi. Forniscono un percorso diretto nella rete aziendale, rendendole un prezioso terreno di sosta per ulteriori attacchi.
Figura 2. Le architetture VPN tradizionali continuano a presentare vaste opportunità per gli aggressori.
L'aumento del lavoro a distanza dopo la pandemia COVID-19 ha trasformato le VPN SSL in un'arma a doppio taglio. Grazie alla facilità di accesso, gli aggressori possono sfruttare la suscettibilità dei lavoratori remoti al phishing e ad altri attacchi di tipo sociale.
Le recenti vulnerabilità di VPN e firewall, come la falla di Palo Alto Networks GlobalProtect, evidenziano un'altra tendenza preoccupante. Non si tratta di puntare il dito contro fornitori specifici. Piuttosto, si tratta di un difetto di progettazione fondamentale di queste tecnologie. Le organizzazioni devono essere consapevoli che le risorse rivolte a Internet, come i firewall e le VPN, sono obiettivi primari per le violazioni. Una volta che gli aggressori ottengono l'accesso, le architetture tradizionali legacy consentono loro di muoversi liberamente all'interno della rete, rubando dati sensibili e compromettendo applicazioni critiche.
L'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) e il Centro australiano per la sicurezza informatica (ACSC) hanno pubblicato una guida che raccomanda alle organizzazioni di tutte le dimensioni - in particolare a quelle governative - di agire rapidamente a causa della gravità della vulnerabilità. Questi articoli includono ulteriori risorse per aiutare a correggere le patch e a limitare l'esposizione, ove possibile.
Figura 3. Il Centro australiano per la sicurezza informatica (ACSC) ha rilasciato una guida consultiva che conferma lo sfruttamento attivo.
Il patching delle vulnerabilità rimane fondamentale, ma per una difesa veramente proattiva contro gli attacchi zero-day, un'architettura Zero Trust offre il vantaggio più significativo.
Ci sono alcuni passi fondamentali per aiutare a limitare l'esposizione:
- Ridurre al minimo i punti di attacco: Renda invisibili online le applicazioni critiche e le VPN vulnerabili, per evitare le violazioni iniziali.
- Confina le violazioni: Colleghi gli utenti direttamente alle applicazioni per ridurre al minimo i danni derivanti da sistemi compromessi.
- Blocca le minacce al cancello: Ispeziona continuamente tutto il traffico per bloccare automaticamente le minacce emergenti.
- Limiti i privilegi di accesso: Consegni agli utenti solo l'accesso di cui hanno bisogno, per evitare azioni non autorizzate.
Il termine "Zero Trust" è diventato una parola d'ordine nel settore della sicurezza, ma, quando è fatto bene, è un approccio che ha un valore reale. Implementando i principi di Zero Trust e la sua architettura di base, le aziende possono affrontare efficacemente i rischi di sicurezza che affliggono le reti tradizionali, comprese le gravi esposizioni dovute alle vulnerabilità dei prodotti firewall e VPN.
Se è possibile ridurre al minimo il ricorso alla VPN e quindi annullare il rischio di essere nuovamente esposti a un'altra vulnerabilità, perché non esplorare questa opzione? Zero Trust butta via il vecchio libro delle regole. A differenza delle reti tradizionali protette da firewall e VPN, Zero Trust non si basa su una "zona fidata" centrale. Al contrario, crea connessioni sicure direttamente tra gli utenti e le risorse specifiche di cui hanno bisogno. Questo va oltre gli utenti e le applicazioni. Zero Trust può collegare carichi di lavoro, filiali, lavoratori remoti e persino sistemi di controllo industriale.
Skyhigh Security lo fa facilitando una connessione sicura alle applicazioni autorizzate, anziché indirizzare l'utente o il dispositivo richiedente alla rete aziendale. Ogni utente, dispositivo e connessione viene continuamente verificato prima di concedere l'accesso alle risorse sensibili. La fiducia non viene mai concessa di default, garantendo la sicurezza e l'integrità dei dati in ogni momento, senza compromettere la disponibilità o le prestazioni per i suoi utenti.
Figura 4. Come un'architettura Zero Trust limita drasticamente la superficie di attacco, in particolare con le vulnerabilità, gli exploit e gli attacchi di movimento laterale che incombono.
È tempo che i leader della sicurezza abbraccino lo Zero Trust. Questo approccio basato sul cloud riduce la superficie di attacco eliminando le vulnerabilità associate a firewall, VPN e altre tecnologie tradizionali. Negando agli aggressori i loro punti di ingresso abituali, Zero Trust crea una difesa più forte e una postura di sicurezza più solida.
Riferimenti: