Na Uy khuyến nghị thay thế SSL VPN để ngăn chặn các vụ xâm phạm
NCSC khuyến nghị quá trình chuyển đổi nên hoàn thành vào năm 2025, trong khi các tổ chức tuân theo 'Đạo luật An toàn' hoặc những tổ chức trong cơ sở hạ tầng quan trọng nên áp dụng các giải pháp thay thế an toàn hơn vào cuối năm 2024.
Khuyến nghị chính thức của NCSC dành cho người dùng các sản phẩm Mạng riêng ảo cổng bảo mật (SSL VPN/WebVPN) là chuyển sang Bảo mật giao thức Internet (IPsec) bằng Internet Key Exchange (IKEv2).
SSL VPN và WebVPN cung cấp quyền truy cập từ xa an toàn vào mạng qua Internet bằng giao thức SSL/TLS, bảo mật kết nối giữa thiết bị của người dùng và máy chủ VPN bằng cách sử dụng "encryption tunnel".
IPsec với IKEv2 bảo mật thông tin liên lạc bằng cách mã hóa và xác thực từng gói bằng cách sử dụng một bộ công cụ được làm mới định kỳ.
"Mức độ nghiêm trọng của các lỗ hổng và việc các tác nhân khai thác nhiều lần loại lỗ hổng này nên NCSC khuyến nghị thay thế các giải pháp truy cập từ xa an toàn sử dụng SSL/TLS bằng các giải pháp thay thế an toàn hơn. NCSC khuyến nghị Bảo mật giao thức Internet (IPsec) bằng Internet Key Exchange (IKEv2),” theo thông báo của NCSC.
Mặc dù tổ chức an ninh mạng thừa nhận IPsec với IKEv2 không có sai sót, nhưng họ tin rằng việc chuyển đổi này sẽ làm giảm đáng kể bề mặt tấn công đối với các sự cố truy cập từ xa an toàn do khả năng chịu lỗi cấu hình giảm so với SSLVPN.
Các biện pháp thực hiện được đề xuất bao gồm:
- Cấu hình lại các giải pháp VPN hiện có hoặc thay thế chúng
- Chuyển tất cả người dùng và hệ thống sang giao thức mới
- Vô hiệu hóa chức năng SSLVPN và chặn lưu lượng TLS đến
- Sử dụng xác thực dựa trên chứng chỉ
Trong trường hợp không thể kết nối IPsec, NCSC đề xuất sử dụng băng thông rộng 5G để thay thế.
NCSC cũng đã chia sẻ các biện pháp tạm thời cho các tổ chức có giải pháp VPN không cung cấp IPsec với tùy chọn IKEv2 và cần thời gian để lập kế hoạch cũng như thực hiện quá trình di chuyển.Bao gồm triển khai ghi nhật ký hoạt động VPN tập trung, hạn chế khoanh vùng địa lý nghiêm ngặt và chặn quyền truy cập từ các nhà cung cấp VPN, Tor exit node và nhà cung cấp VPS. Các quốc gia khác cũng khuyến nghị sử dụng IPsec thay vì các giao thức khác, bao gồm Hoa Kỳ và Vương quốc Anh.
Không giống như IPsec - một tiêu chuẩn mở mà hầu hết các công ty tuân theo, SSLVPN không có tiêu chuẩn, vì vậy các nhà sản xuất thiết bị mạng phải tạo ra cách triển khai giao thức của riêng họ. Tuy nhiên điều này đã dẫn đến nhiều lỗi được phát hiện trong nhiều năm khi triển khai SSL VPN từ Cisco, Fortinet và SonicWall mà tin tặc tích cực khai thác để xâm phạm mạng.
Như Fortinet tiết lộ vào tháng 2 rằng nhóm hack Volt Typhoon của Trung Quốc đã khai thác hai lỗ hổng FortiOS SSL VPN để xâm nhập vào các tổ chức, bao gồm cả mạng quân sự Hà Lan. Năm 2023, các hoạt động của phần mềm ransomware Akira và LockBit đã khai thác lỗ hổng zero-day SSL VPN trong bộ định tuyến Cisco ASA để xâm nhập mạng công ty, đánh cắp dữ liệu và mã hóa thiết bị. Đầu năm 2023, lỗ hổng Fortigate SSL VPN đã bị khai thác dưới dạng lỗ hổng zero-day chống lại chính phủ, cơ sở sản xuất và cơ sở hạ tầng quan trọng.
Khuyến nghị của NCSC được đưa ra sau khi tổ chức này gần đây cảnh báo về một tác nhân đe dọa nâng cao đang khai thác nhiều lỗ hổng zero-day trong Cisco ASA VPN được sử dụng trong cơ sở hạ tầng quan trọng kể từ tháng 11/2023.
Cisco tiết lộ chiến dịch cụ thể là 'ArcaneDoor', và được quy cho nhóm mối đe dọa được theo dõi là 'UAT4356' hoặc 'STORM-1849', những kẻ đã giành được quyền truy cập trái phép vào các phiên WebVPN được liên kết với các dịch vụ SSL VPN của thiết bị. Các cuộc tấn công liên quan đến việc khai thác hai lỗ hổng zero-day, đó là CVE-2024-20353 và CVE-2024-20359, cho phép tin tặc vượt qua xác thực, chiếm đoạt thiết bị và nâng cao đặc quyền đối với quyền quản trị.
Mặc dù Cisco đã sửa hai lỗ hổng vào ngày 24/4, nhưng công ty này không thể xác định được cách thức mà các tác nhân đe dọa ban đầu có được quyền truy cập vào thiết bị.
Nguyễn Anh Tuấn (theo Bleeping Computer)