12/08/24
В последние годы защита VPN-серверов стала одной из главных тем в мире кибербезопасности. Череда обнаружений критических уязвимостей и их активная эксплуатация злоумышленниками вызвала настоящую панику среди администраторов и пользователей. Однако проблема далеко не нова: VPN-серверы давно привлекают внимание хакеров благодаря их доступности из интернета и недостаточной защищённости, пишут в Securitylab.
Злоумышленники традиционно используют уязвимости VPN для проникновения во внутренние сети, используя скомпрометированные серверы как плацдарм для дальнейших атак. Однако некоторые эксперты задаются вопросом: стоит ли ограничиваться только этим сценарием? Исследование показало, что скомпрометированный VPN-сервер может предоставить хакерам гораздо больше возможностей.
Одним из наиболее распространённых методов эксплуатации скомпрометированного VPN является установка вредоносного ПО на операционную систему устройства. Это позволяет хакеру полностью контролировать сервер: перехватывать конфиденциальную информацию, манипулировать журналами для сокрытия своей активности, а также изменять конфигурации системы для сохранения доступа. Однако, разработка и поддержка таких инструментов требуют значительных ресурсов, что делает этот метод доступным в основном для хакеров государственного уровня.
Альтернативный подход к эксплуатации VPN-серверов может быть более простым и экономичным. Вместо установки вредоносных программ на устройство, злоумышленники могут использовать возможности самого VPN, получив доступ к его интерфейсу управления. Такой доступ может быть получен через уязвимости обхода аутентификации, слабые пароли или фишинговые атаки.
В ходе исследований, проведённых компанией Akamai, было выявлено несколько способов эксплуатации ведущих VPN-серверов, таких как Ivanti Connect Secure и FortiGate, которые могут привести к компрометации всей сети. Среди наиболее опасных методов — перехват учётных данных внешних серверов аутентификации, таких как LDAP и RADIUS, а также использование этих данных для получения доступа к другим ресурсам в сети.
Особое внимание уделяется уязвимости VPN-серверов, использующих LDAP для аутентификации. В некоторых конфигурациях учётные данные передаются в открытом виде, что позволяет злоумышленникам легко их перехватить и использовать для дальнейших атак. При этом даже использование защищённых протоколов может быть подорвано, если хакер контролирует VPN и способен изменить настройки обратно на небезопасные.
Ещё один опасный метод заключается в регистрации поддельного сервера аутентификации, что позволяет хакерам перехватывать учётные данные, вводимые пользователями при входе в систему. Этот подход может быть реализован как на FortiGate, так и на Ivanti, что делает его универсальным и весьма эффективным.
Кроме того, исследование выявило серьёзные проблемы с безопасностью конфигурационных файлов VPN. Эти файлы могут содержать различные секретные данные, включая пароли и ключи шифрования, которые часто хранятся в зашифрованном, но доступном для расшифровки виде. Особенно уязвимы FortiGate и Ivanti, которые используют статические ключи шифрования, что позволяет злоумышленникам расшифровать данные при получении доступа к конфигурационным файлам.
Учитывая выявленные уязвимости, эксперты рекомендуют придерживаться принципов Zero Trust Network Access (ZTNA), ограничивать права учётных записей сервисов, использовать отдельные идентификаторы для аутентификации в VPN и внимательно следить за изменениями конфигурации устройств. Эти меры помогут значительно снизить риски, связанные с эксплуатацией VPN-серверов и предотвратить возможные атаки.
