VPN (Virtual Private Network) systémy (servery) jsou často vystaveny internetu a jsou populárním cílem útoků kvůli jejich zranitelnostem. Nedávno byla objevena zranitelnost ve vybavení Ivanti Connect Secure / Pulse Secure, která umožňuje vzdálené převzetí VPN serveru bez autentizace.
Podle zpráv se určitá skupina APT, pravděpodobně z Číny, dostala do více než 1700 zařízení tohoto druhu po celém světě, včetně Polska. Do těchto útoků se staly oběťmi instituce z vládních, vojenských, telekomunikačních společností, dodavatelů obranných systémů, bankovnictví, finančnictví, účetních poradenství, stejně jako letectví, letecké dopravy a inženýrství.
Rapid7 publikoval analýzu tohoto problému a identifikoval dvě zranitelnosti. První souvisí s tím, že požadavek API na zařízení nevyžaduje autentizaci, což umožňuje přístup ke všem funkcím API. Druhá zranitelnost spočívá v injektování příkazu do libovolné funkce API, což umožňuje provádění libovolného systémového příkazu s oprávněním root.
Přestože je v systému implementována dvoufaktorová autentizace (2FA), útok na zranitelnost VPN serveru tuto ochranu obchází a umožňuje obejití bezpečnostních opatření. Získáním root přístupu k VPN serveru útočník získává stejná oprávnění jako přihlášený uživatel VPN.
Tato zranitelnost je aktivně zneužívána jako výchozí bod pro další útoky na síť. Je důležité zkontrolovat, zda naše VPN zařízení nebyla infikována, a přijmout vhodná bezpečnostní opatření, jako jsou aktualizace softwaru a pravidelné skenování zařízení.
FAQ
1. Co je to VPN?
VPN (Virtual Private Network) je technologie, která umožňuje bezpečné připojení k soukromé síti prostřednictvím veřejného internetu.
2. Co je to 2FA?
2FA (Two-Factor Authentication) je metoda zabezpečení přístupu, která vyžaduje, aby uživatel poskytl dvě různé autentizační faktory, například heslo a kód generovaný na zařízení.
3. Co je to injektování příkazů?
Injektování příkazů je technika útoku, která spočívá v injektování zákeřného kódu do aplikace nebo systému, který je poté systémem spuštěn jako příkaz.
Zdroj: sekurak.pl
The source of the article is from the blog trebujena.net