Server appartenenti ad aziende che offrono noti servizi VPN sono stati oggetto di attacchi che hanno portato alla sottrazione e alla pubblicazione online delle chiavi private associate ai certificati usati per proteggere siti web e file di configurazione delle VPN. Ad essere prese di mira NordVPN, TorGuard e VikingVPN con le prime due che hanno già diramato delle brevi note ufficiali.
“Ci siamo resi conto che nel marzo 2018, uno dei data center in Finlandia presso cui abbiamo installato i nostri server è stato oggetto di attacco. L’aggressore ha ottenuto accesso non autorizzato sfruttando un sistema di gestione remota insicuro lasciato in piedi dal gestore del data center a nostra completa insaputa“, si legge nel comunicato di NordVPN. “Il server aggredito, comunque, non conteneva log delle attività degli utenti; nessuna delle nostre applicazioni gestiva credenziali personali quindi non è stato possibile intercettare nemmeno i nomi utente e le password. Lo specifico file di configurazione usato sul server in questione è stato ritirato il 5 marzo 2018. Si è trattato di un caso isolato e nessun altro data center che utilizziamo è stato colpito“, ha concluso NordVPN.
Da parte sua TorGuard ha commentato che grazie alla configurazione approntata la chiave CA principale non è stata mai trafugata in quanto non presente sul sistema preso di mira dagli aggressori.
Gli incidenti che hanno visto coinvolti i provider VPN sembrano quindi di portata limitata rispetto a quanto inizialmente emerso in rete. Purtuttavia essi confermano che anche i servizi VPN, spesso pubblicizzati come inviolabili, possono essere oggetto di attacco sfruttando lacune di configurazione e “debolezze” insite nell’infrastruttura.
So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys… pic.twitter.com/TOap6NyvNy
— undefined (@hexdefined) October 20, 2019