Nel corso dell’ultimo anno le aziende hanno sempre più fatto ricorso allo smart working e l’utilizzo di server VPN per collegarsi da remoto alla rete dell’ufficio o dell’impresa è divenuto sempre più diffuso.
Questa tendenza non è passata inosservata ai criminali informatici che sempre più di frequente hanno preso di mira le vulnerabilità irrisolte a livello di server VPN.
I software più popolari per predisporre server VPN sono diventati sempre più bersaglio di attacco: una volta che un aggressore riesce a guadagnare l’accesso alla rete aziendale a causa di un problema di sicurezza a livello di VPN egli ha carta bianca e può causare ogni genere di danno. Può ad esempio monitorare il traffico all’interno della rete locale, accedere alle risorse condivise, modificare la configurazione di server e workstation, sottrarre dati riservati e danneggiare i dati.
Le VPN sono un ottimo strumento per collegarsi in sicurezza alla rete locale dell’azienda ma è essenziale scongiurare qualunque rischio riducendo al minimo la superficie di attacco.
Gli esperti di Trustwave hanno verificato che negli ultimi mesi gli aggressori stanno sfruttando vulnerabilità lasciate irrisolte a livello di server VPN.
I gestori delle VPN hanno ancora oggi la brutta abitudine di non installare tempestivamente le patch di sicurezza rilasciate dai produttori. Viene citato l’esempio di una falla in Fortinet FortiOS SSL VPN che, nonostante sia stata risolta dal produttore da almeno due anni, in molti casi non è stata corretta mediante l’installazione della patch ufficiale di fatto mettendo utenti non autorizzati nelle condizioni di acquisire le credenziali di login.
Il consiglio è quindi quello di scaricare e installare le patch per il server VPN che si utilizza (se è integrato nel router provvedere ad applicare l’aggiornamento del firmware più recente).
Ove possibile è ragionevole attivare e richiedere l’utilizzo dell’autenticazione a due fattori per l’accesso al server VPN.
Oltre a verificare che la VPN sia correttamente configurata è importante utilizzarla in full tunnel mode anziché in split-tunnel facendo sì che i dispositivi sconosciuti o non autorizzati non possano accedere alla rete.
Stando ai dati forniti da Nuspire gli attacchi contro le VPN Fortinet sono aumentati del 1916% e contro le VPN Pulse Connect del 1527% durante il primo trimestre di quest’anno.
Nel primo caso è stata sfruttata la vulnerabilità CVE-2018-13379 mentre nel secondo CVE-2019-11510. In entrambi i casi sono disponibili da tempo i corrispondenti aggiornamenti correttivi.
In un recente articolo abbiamo visto come configurare una VPN con un router ASUS mentre in un altro approfondimento Come attivare un server VPN in Windows.
In altri articoli ci siamo invece concentrati su OpenVPN.