O ano passado tem sido um jogo constante de vulnerabilidades de VPN, deixando as organizações que usam sistemas de acesso remoto desatualizados muito abertas a potenciais ciberataques. Os piratas informáticos estão a explorar falhas críticas no software do dia a dia, desde VPNs - como os CVEs Ivanti de alta gravidade e os eventos Fortinet FortiVPN - a firewalls como o PAN-OS da Palo Alto Networks e aplicações de mensagens como o Telegram. Ao permitir que os adversários assumam o controlo total dos dispositivos através da execução remota de código ou bloqueiem o acesso aos dispositivos com ataques de negação de serviço (DoS), estas vulnerabilidades colocam em risco os seus dados valiosos.
Em dezembro de 2023, hackers apoiados pelo estado chinês exploraram vulnerabilidades de dia zero (CVE-2023-46805 e CVE-2023-21887) nos produtos Ivanti VPN, permitindo o acesso não autorizado através de desvio de autenticação e controlo remoto através de injeção de comando remoto. Mesmo depois de terem sido lançadas correcções, os atacantes encontraram novas vulnerabilidades (CVE-2024-21888) para contornar as correcções e continuar as suas actividades maliciosas.
Em fevereiro deste ano, a Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) deu o alarme sobre outro ataque VPN. Desta vez, o alvo eram os dispositivos de segurança Cisco ASA, que combinam firewall, antivírus, prevenção de intrusões e capacidades de VPN virtual. O culpado foi uma vulnerabilidade conhecida (CVE-2020-3259) explorada pelo grupo de ransomware Akira, que ataca sistemas Windows e Linux. A organização cibercriminosa tirou partido de configurações WebVPN/AnyConnect mal configuradas para roubar dados.
Esta vulnerabilidade mais recente é da Palo Alto Networks. Este dia zero crítico, registado como CVE-2024-3400, afecta o produto GlobalProtect VPN do fornecedor. A falha de segurança crítica encontrada no PAN-OS da Palo Alto Networks permite que os atacantes obtenham controlo total, com privilégios de raiz, da própria firewall e da conetividade VPN que esta facilita, tudo isto sem exigir um nome de utilizador e uma palavra-passe. Para simplificar, esta ameaça de dia zero tem a pontuação de gravidade mais elevada possível: 10 em 10.
No artigo de descoberta inicial divulgado pela Volexity, a investigação descobriu que o atacante se concentrava na exportação de dados de configuração dos dispositivos e, em seguida, aproveitava-os como ponto de entrada para se deslocar lateralmente dentro das organizações visadas.
Estes ataques repetidos utilizando exploits de dia zero realçam uma tendência preocupante: o problema reside na arquitetura desactualizada das próprias VPNs e não num fornecedor específico.
Figura 1. A CISA publicou um aviso que confirma a exploração ativa iniciada através do aproveitamento da vulnerabilidade da Palo Alto Networks.
Porque é que estes incidentes ocorrem?
Ao longo dos últimos anos, os produtos VPN SSL têm sido alvo de uma vasta gama de agentes de ameaças, tanto cibercriminosos com motivações financeiras como hacktivistas de estados-nação. Como explica este fenómeno? A resposta é relativamente simples: As VPNs SSL podem servir como ponto de entrada para aceder a um tesouro de dados empresariais valiosos. Fornecem um caminho direto para a rede de uma empresa, o que as torna um valioso ponto de partida para outros ataques.
Figura 2. As arquitecturas VPN antigas continuam a apresentar grandes oportunidades para os atacantes.
O aumento do trabalho remoto após a pandemia da COVID-19 transformou as VPNs SSL numa faca de dois gumes. Como são fáceis de aceder, os atacantes podem explorar a suscetibilidade dos trabalhadores remotos a ataques de phishing e outros ataques de engenharia social.
As recentes vulnerabilidades de VPN e firewall, como a falha do GlobalProtect da Palo Alto Networks, destacam outra tendência preocupante. Não se trata de apontar o dedo a fornecedores específicos. Em vez disso, trata-se de uma falha fundamental na conceção destas tecnologias. As organizações têm de estar cientes de que os activos que estão virados para a Internet, como firewalls e VPNs, são os principais alvos de violações. Assim que os atacantes obtêm acesso, as arquitecturas tradicionais permitem-lhes mover-se livremente dentro da rede, roubando dados sensíveis e comprometendo aplicações críticas.
A Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) e o Centro Australiano de Segurança Cibernética (ACSC) publicaram orientações que recomendam que as organizações de todas as dimensões - em especial as da administração pública - actuem rapidamente devido à gravidade da vulnerabilidade. Estes artigos incluem recursos adicionais para o ajudar a aplicar os patches e a limitar a exposição sempre que possível.
Figura 3. O Centro Australiano de Cibersegurança (ACSC) publicou orientações consultivas que confirmam a exploração ativa.
A correção das vulnerabilidades continua a ser crucial, mas para uma defesa verdadeiramente proactiva contra ataques de dia zero, uma arquitetura Zero Trust oferece a vantagem mais significativa.
Há uma série de passos fundamentais para ajudar a limitar a exposição:
- Minimize os pontos de ataque: Torne as aplicações críticas e as VPNs vulneráveis invisíveis online para evitar violações iniciais.
- Confine as violações: Ligue os utilizadores diretamente às aplicações para minimizar os danos causados por sistemas comprometidos.
- Bloqueie as ameaças no portão: Inspeccione continuamente todo o tráfego para bloquear automaticamente as ameaças emergentes.
- Limite os privilégios de acesso: Dê aos utilizadores apenas o acesso de que necessitam para evitar acções não autorizadas.
A "Confiança Zero" tornou-se uma palavra de ordem no espaço da segurança, mas, quando bem feita, é uma abordagem que tem um valor real. Ao implementar os princípios da Confiança Zero e a sua arquitetura subjacente, as empresas podem abordar eficazmente os riscos de segurança que assolam as redes tradicionais, incluindo exposições graves de vulnerabilidades em produtos de firewall e VPN.
Se puder minimizar a dependência da VPN e, assim, anular o risco de ser exposto novamente por outra vulnerabilidade, porque não explorar essa opção? A Confiança Zero deita fora o velho livro de regras. Ao contrário das redes tradicionais protegidas por firewalls e VPNs, a Confiança Zero não depende de uma "zona de confiança" central. Em vez disso, cria ligações seguras diretamente entre os utilizadores e os recursos específicos de que necessitam. Isto vai para além dos utilizadores e das aplicações. O Zero Trust pode ligar cargas de trabalho, filiais, trabalhadores remotos e até sistemas de controlo industrial.
Skyhigh Security permite-o, facilitando uma ligação segura a aplicações autorizadas, em vez de direcionar o utilizador ou dispositivo requerente para a rede empresarial. Cada utilizador, dispositivo e ligação é continuamente verificado antes de ser concedido acesso a recursos sensíveis. A confiança nunca é concedida por defeito, garantindo a segurança e integridade dos dados em todos os momentos, sem comprometer a disponibilidade ou o desempenho dos seus utilizadores.
Figura 4. Como uma arquitetura Zero Trust limita drasticamente a superfície de ataque, particularmente com vulnerabilidades, explorações e ataques de movimento lateral a aproximarem-se.
Está na altura de os líderes de segurança adoptarem o Zero Trust. Esta abordagem baseada na nuvem reduz a superfície de ataque, eliminando as vulnerabilidades associadas a firewalls, VPNs e outras tecnologias antigas. Ao negar aos atacantes os seus pontos de entrada habituais, o Zero Trust cria uma defesa mais forte e uma postura de segurança mais robusta.
Referências: