4 falhas de segurança exploradas nas VPNs

Falhas de segurança das VPNs

As VPNs são amplamente usadas para fornecer aos funcionários remotos, terceiros e contratados acesso a uma rede corporativa. As VPNs usam segurança simples baseada em IP para autenticar usuários em uma rede.

E há várias razões pelas quais as VPNs são vulneráveis.

As soluções de VPN geralmente fornecem aos usuários acesso a muito mais recursos do que realmente precisam para realizar seus trabalhos. Como as VPNs são difíceis de administrar, geralmente são configuradas para conceder amplo acesso a sub-redes inteiras, nas quais se baseiam em uma ideia falha tão antiga quanto a rede TCP / IP básica: que um usuário deve ter permissão para se conectar a um segmento de rede inteiro antes para autenticação no nível do aplicativo.

Muitas vezes, os usuários da VPN podem ver e acessar muito mais do que realmente deveriam, sem levar em consideração suas responsabilidades ou o contexto de sua conexão.

Existem várias maneiras pelas quais agentes mal-intencionados podem usar VPNs para entrar em redes.

Aqui estão quatro problemas comumente explorados:

Uma imagem contendo relógio

Descrição gerada automaticamente

Backdoors são um grande problema com VPNs. Um backdoor é um método para acessar remotamente um sistema de computador que ignora os mecanismos de segurança habituais.

Uma simples pesquisa na Web por “VPN backdoor” gera milhões de resultados, envolvendo praticamente todos os fornecedores de VPN do planeta. Esses artigos são sobre falhas (intencionais ou não intencionais) nas tecnologias que essas empresas criaram e lançaram no mercado. Há também outro tipo de “backdoor” sobre o qual Evan Gilman e Doug Barth falam em seu livro Zero Trust Networks: Construindo Sistemas Seguros em Redes Não Confiáveis:

 “Uma VPN … é a maior porta dos fundos que ninguém jamais suspeitou.”

Por quê? Como as VPNs não possuem inspeção de tráfego dentro da zona, não têm flexibilidade suficiente na localização do host e criam pontos únicos de falha.

Fundo preto com letras brancas

Descrição gerada automaticamente

Todo concentrador de VPN, sem exceção, é implantado de forma a estar presente na Internet com uma porta aberta e continuamente ouvindo. Um concentrador de VPN é simplesmente um dispositivo de rede que permite que milhares de usuários remotos estabeleçam uma conexão VPN. Isso significa que todos os concentradores de VPN estão “disponíveis na Internet pública”, aceitando tentativas de conexão o dia todo, todos os dias, independentemente de quem está do outro lado dessa conexão. Essa falha de design inerente expõe uma superfície / vetor de ataque para qualquer pessoa nefasta explorar.

Uma imagem contendo relógio

Descrição gerada automaticamente

Considere o que acontece depois que um usuário se autentica e estabelece um túnel VPN através do concentrador. Esse usuário recebe um endereço IP e efetivamente cai na rede interna “confiável” atrás do concentrador. Sem outras ferramentas (como políticas da ACL) ou tecnologias (como NACs ou roteadores), esse usuário é livre para fazer o que quiser na rede e qualquer ponto de extremidade agora é um vetor de ataque que se move lateralmente dentro da rede.

Este é o outro backdoor que Evan Gilman e Doug Barth falam em seu livro. A menos que outras defesas ou proteções estejam em vigor, todos os serviços individuais em execução nesses sistemas estão abertos e aguardando tentativas de conexão.

Uma imagem contendo relógio

Descrição gerada automaticamente

Depois que um usuário é autenticado, essa autorização é gravada no computador do usuário, geralmente na forma de um cookie não criptografado. Se nenhuma precaução especial for tomada, esse cookie também existirá na memória, que também normalmente não é criptografada.

Se o laptop desse usuário já estiver sob o controle de um agente de ameaças, o que significa que um invasor já implantou malware nele, esse cookie de autorização estará disponível para o agente mal e pode ser roubado, exfiltrado e usado em ataques baseados em credenciais.

O problema de porta aberta acima permite que os invasores obtenham acesso facilmente a uma rede usando uma VPN depois de obterem acesso ao cookie não criptografado. Novamente, uma vez conectado, o backdoor está totalmente aberto a toda a rede.

Existem falhas de arquitetura com VPNs que não desaparecem apenas criptografando o cookie de autorização:

  • O concentrador ainda estará ouvindo em uma porta acessível pela Internet
  • O usuário ainda estará conectado à rede “confiável”
  • Os vários data centers ainda serão conectados por conexões LAN-LAN abertas, permitindo o movimento lateral entre data centers
  • O aplicativo VPN ainda não suporta conexões simultâneas com vários destinos
  • O concentrador ainda carecerá de integração com outros sistemas comerciais importantes

Nossa equipe especializada está à disposição para demonstrar soluções que atendem aos requisitos descritos neste artigo e orientar na que mais se adequa à sua necessidade. Entre em contato conosco e descubra como:


Artigos Relacionados

Compartilhe:
Bitnami