Poniższy artykuł jest kontynuacją naszego wcześniejszego tekstu, w którym pisaliśmy o tym, czy VPN powinien zostać uśmiercony, jaką mamy alternatywę oraz jak zabezpieczyć VPN.
Dzisiaj postanowiliśmy opisać problemy związane ze współczesnymi serwerami VPN. Powiemy o tym, jak atakujący przejmują nad nimi kontrolę w celu uzyskania dostępu do sieci wewnętrznej oraz o znacznie większych możliwościach, jakie stwarza im post exploitacja. Na końcu zamieścimy porady, jak się zabezpieczyć.
Rola serwerów VPN w ekosystemie sieciowym oraz wprowadzenie w tematykę ataków VPN
Serwery VPN są kluczowym elementem infrastruktury wielu organizacji, umożliwiając zdalny dostęp do zasobów sieciowych. Jednak ich powszechna dostępność przez Internet czyni je jednocześnie atrakcyjnym celem dla atakujących. Zapewne wielu z naszych czytelników, którzy śledzą Kapitana oraz informacje ze świata cybersec zauważyło, że w ostatnich latach krytyczne podatności w serwerach VPN stały się częstym tematem w świecie bezpieczeństwa IT. O ostatniej, krytycznej podatności w Palo Alto pisaliśmy w środę tutaj.
Scenariusz ich wykrycia jest często powtarzalny: nowa luka zostaje odkryta, jest wykorzystywana w atakach, a administratorzy w pośpiechu wdrażają poprawki, podczas gdy wiadomości o zagrożeniu rozprzestrzeniają się w mediach społecznościowych.
Zarówno poprzedni, jak i obecny rok były szczególnie trudne dla bezpieczeństwa VPN. Co kilka miesięcy odkrywano lub łagodzono nowe krytyczne luki, które atakujący wykorzystali w swoich działaniach. Ta aktywność, choć nasilona, nie jest nowością. Serwery VPN od dawna stanowią atrakcyjny cel dla cyberprzestępców ze względu na ich publiczną dostępność, szeroką powierzchnię ataku oraz niedobór zabezpieczeń i monitorowania. Większą popularność zdobyły podczas pandemii Covid-19 i związaną z tym zmianą trybu pracy na zdalną.
Historycznie serwery VPN były wykorzystywane głównie do uzyskania początkowego dostępu do sieci wewnętrznej. Atakujący naruszali serwery VPN, by stworzyć przyczółek, umożliwiający im dalsze włamania i ruch lateralny w sieci organizacji. W ten sposób VPN służył jako „brama” do bardziej złożonych działań cyberprzestępczych.
Aktorzy zagrożeń, realizując techniki post exploitacyjne, często koncentrują swoje działania na systemie operacyjnym urządzenia. Uzyskanie zdalnego wykonania kodu (RCE) pozwala im na wprowadzenie niestandardowego implantu do systemu operacyjnego urządzenia VPN. Dzięki temu implantowi napastnik zyskuje pełną kontrolę nad funkcjami sieci VPN. Może to obejmować wycieki poufnych danych, manipulację dziennikami w celu unikania wykrycia lub zmiany konfiguracji systemu w celu zapewnienia trwałości swojego dostępu.
Choć podejście to oferuje znaczące możliwości, jego realizacja jest kosztowna i skomplikowana. Systemy operacyjne urządzeń VPN często są niestandardowe i utwardzone, co wymaga znacznych nakładów pracy na opracowanie oraz utrzymanie skutecznego implantu. W rezultacie techniki te są najczęściej stosowane przez zaawansowanych aktorów zagrożeń, w szczególności tych związanych z operacjami na poziomie państwowym.
Living off the VPN
Inną techniką ataku jest alternatywne podejście do post exploitacji VPN, polegające na wykorzystaniu istniejących funkcji urządzenia zamiast niestandardowego implantu systemowego. Skupia się na interfejsie zarządzania VPN i badaniach, co może osiągnąć atakujący, mając dostęp tylko do tego narzędzia. Metoda ta nazywa się „Living off the VPN”.
To podejście ma dwie główne zalety:
- Łatwiejszy dostęp: Można go uzyskać za pomocą obejścia uwierzytelniania, słabych danych logowania lub phishingu, bez potrzeby pełnego RCE.
- Niższy koszt: Rezygnacja z tworzenia niestandardowego ładunku znacząco upraszcza operację.
Living off the VPN – nowa perspektywa na exploitację VPN
Eksperci zaczęli jednak kwestionować, czy serwer VPN powinien być postrzegany wyłącznie jako narzędzie umożliwiające dostęp do sieci. Badania i analiza technik post exploitacji wskazują, że kontrola nad serwerem VPN otwiera znacznie szersze możliwości. Atakujący, którzy już uzyskali dostęp (np. poprzez wykorzystanie podatności lub skradzione dane uwierzytelniające), mogą realizować dodatkowe cele, takie jak:
- eskalacja uprawnień,
- wykradanie danych,
- manipulacja konfiguracją urządzenia,
- długotrwałe utrzymywanie dostępu bez wykrycia.
Współczesne zagrożenia związane z VPN wykraczają poza klasyczne naruszenia dostępu. Post exploitacyjne techniki pokazują, że serwery VPN mogą być strategicznym narzędziem w bardziej skomplikowanych atakach. Dlatego niezbędne są zaawansowane mechanizmy zabezpieczające oraz monitorowanie aktywności w sieci, aby skutecznie przeciwdziałać tym zagrożeniom.
Jak wyglądają współczesne techniki przejmowania VPN przez atakujących?
Aby lepiej zobrazować sam proces przejmowania serwerów VPN, postanowiliśmy opisać je na podstawie artykułu na blogu Akamai, w którym eksperci omawiają techniki wykorzystywane przez cyberprzestępców po przejęciu serwerów VPN.
Analiza skupia się na zagrożeniach, jakie niesie kontrola nad urządzeniami VPN, i na możliwościach ataków eskalacyjnych.
Poniżej zamieszczamy kluczowe zagadnienia:
1. Post exploitacja – co robią atakujący po przejęciu VPN?
Po przejęciu serwera VPN, atakujący mogą wykorzystać urządzenie jako punkt wyjścia do dalszych działań. Eksperci wskazuje dwa główne podejścia:
a) eksploatacja na poziomie systemu operacyjnego
Atakujący mogą instalować niestandardowe złośliwe oprogramowanie na urządzeniach VPN, co daje im pełną kontrolę nad ich funkcjonowaniem. Dzięki temu mogą:
- zbierać dane uwierzytelniające użytkowników,
- manipulować logami w celu unikania wykrycia,
- utrzymywać trwały dostęp do urządzenia.
Choć technika ta oferuje szerokie możliwości, jej zastosowanie wymaga znacznych zasobów technicznych i finansowych, co sprawia, że korzystają z niej głównie zaawansowane grupy hakerskie, np. sponsorowane przez państwa.
b) wykorzystanie istniejącej funkcjonalności VPN
To podejście jest mniej kosztowne i łatwiej dostępne. Polega na manipulowaniu ustawieniami zarządzania urządzeniem bez konieczności instalowania dodatkowego oprogramowania. Taki dostęp można uzyskać m.in. poprzez phishing, słabe hasła (np. dla użytkowników uwierzytelniających się poprzez LDAP) lub wykorzystanie luk w interfejsie zarządzania VPN czy nawet podsłuchiwanie pakietów sieciowych w celu wydobycia z nich niezaszyfrowanych haseł.
Technikę tę określa się jako Living of the VPN („Życie poza VPN”). Jej główne zalety to łatwość wdrożenia oraz redukcja kosztów i zmniejszenie ryzyka wykrycia.
2. Studium przypadku – testy na popularnych urządzeniach VPN
Eksperci przeprowadzili badania na dwóch popularnych platformach VPN: Ivanti Connect Secure oraz FortiGate. Podczas testów odkryto nowe luki CVE oraz techniki, które umożliwiają atakującym:
- uzyskanie dostępu do innych urządzeń w sieci,
- wykorzystanie serwera VPN jako punktu startowego do przejęcia całej infrastruktury.
Chociaż badania skupiały się na wybranych urządzeniach, autorzy podkreślają, że podobne techniki mogą być skuteczne również na innych platformach VPN.
3. Eskalacja ataku – przejęcie serwerów uwierzytelniania
Jednym z najważniejszych kroków w eskalacji ataku jest przejęcie serwerów uwierzytelniania, takich jak LDAP lub Active Directory, które często są zintegrowane z urządzeniami VPN. Po uzyskaniu dostępu do tych zasobów, atakujący mogą:
- zyskiwać dane dostępowe użytkowników,
- tworzyć konta administratorów w systemach sieciowych,
- przeprowadzać ataki z wykorzystaniem zaufanych poświadczeń.
Skutki przejęcia serwera VPN dla sieci
Przejęcie serwera VPN może prowadzić do całkowitej kompromitacji sieci. VPN, jako brama dostępu do wewnętrznych zasobów, daje atakującym możliwość:
- podszywania się pod użytkowników,
- przeprowadzania ataków lateralnych w sieci,
- eksfiltracji danych.
Zalecenia bezpieczeństwa VPN
Stworzenie lepszej sieci VPN wymaga czegoś więcej niż tylko łatanie luk w zabezpieczeniach lub aktualizowanie protokołów. Wymaga fundamentalnej zmiany podejścia do bezpieczeństwa sieci w erze cyfrowej. Wiąże się to z integracją zaawansowanych algorytmów szyfrowania, wdrożeniem silniejszych mechanizmów uwierzytelniania i przyjęciem bardziej proaktywnego podejścia do wykrywania i łagodzenia zagrożeń. Ponadto zwiększenie prywatności i bezpieczeństwa sieci VPN wymaga współpracy między interesariuszami branży, w tym ekspertami ds. cyberbezpieczeństwa, inżynierami sieci i programistami oprogramowania. Wspierając innowacje i dzieląc się wiedzą, możemy wspólnie zająć się niedociągnięciami istniejących technologii VPN i utorować drogę do bezpieczniejszej i bardziej odpornej przyszłości.
Aby przeciwdziałać tego typu zagrożeniom, zalecamy:
- Aktualizacje i łatki – regularne stosowanie aktualizacji zabezpieczających i monitorowanie najnowszych luk.
- Zarządzanie dostępem – użycie silnych haseł i uwierzytelniania wieloskładnikowego (MFA).
- Segmentacja sieci – izolacja krytycznych zasobów od infrastruktury dostępnej przez VPN.
- Monitorowanie i analityka – wdrożenie narzędzi do analizy zachowań w sieci, które mogą wykrywać anomalie.
Podsumowanie
Techniki wykorzystywane po przejęciu serwerów VPN stają się coraz bardziej zaawansowane, a zagrożenie wzrasta w miarę integracji urządzeń VPN z innymi krytycznymi systemami. Pisząc o problemie, chcemy podkreślić potrzebę ciągłego monitorowania, wdrażania nowoczesnych zabezpieczeń i edukacji personelu IT w zakresie najlepszych praktyk bezpieczeństwa.
Więcej szczegółów na temat technik opisanych powyżej można znaleźć na stronie Akamai: link do artykułu.