COVID-19: Avec le télétravail, la sécurité VPN devient primordiale
DHS, SANS, NJCCIC et Radware avertissent les entreprises de sécuriser leurs serveurs VPN au milieu de l’épidémie de coronavirus et lorsqu’une grande majorité des employés travaillent à domicile.
Avec la plupart des employés travaillant à domicile au milieu de l’épidémie de COVID-19 (coronavirus) d’aujourd’hui , les serveurs VPN sont désormais devenus primordiaux pour les entreprises, et leur sécurité et leur disponibilité doivent être au centre des préoccupations des équipes informatiques.
« Il sera très important que le service VPN soit corrigé et à jour car il y aura beaucoup plus de scans contre ces services », a déclaré Guy Bruneau, un instructeur ISC SANS dans un article la semaine dernière.
L’avertissement de Bruneau n’est que l’une des nombreuses alertes de l’industrie de la cybersécurité publiées au cours des derniers jours sur le thème de la sécurité VPN. Le site CNET, a examiné les meilleurs services VPN .
Des avertissements de sécurité similaires ont été publiés par la Cybersecurity and Infrastructure Security Agency (DHS CISA) du Department of Homeland Security , la New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) et la société de cybersécurité Radware .
LE MOMENT IDÉAL POUR DÉTECTER LES COMPROMIS DE COMPTE VPN
Selon Bruneau, il est maintenant plus important que jamais que les entreprises et le personnel informatique mettent en place des systèmes pour mesurer les performances et la disponibilité de leurs services VPN.
L’instructeur ISC SANS affirme que ces systèmes aideront les entreprises à éviter les temps d’arrêt des services VPN critiques et que le service VPN représente le moyen le plus sûr d’accéder aux réseaux d’entreprise et aux ressources privées.
Bruneau encourage les entreprises à parcourir les journaux d’événements pour détecter d’éventuels compromis sur certains comptes. Étant donné que la plupart des employés utiliseront désormais des systèmes VPN, ils sont plus susceptibles de tomber sur des attaques de phishing qui volent les informations d’identification.
En théorie, avec une journalisation appropriée, il devrait être beaucoup plus facile de repérer les comptes problématiques en examinant les modèles d’utilisation VPN irréguliers pour chaque utilisateur d’entreprise travaillant à domicile.
« L’activité qui devrait être examinée au cours des prochaines semaines serait les ports associés à VPN comme OpenVPN (1194) ou SSL VPN (TCP / UDP 443, IPsec / IKEv2 UDP 500/4500) avec leurs journaux associés pour garantir l’accès à ces services par les bonnes personnes et qu’ils ne soient pas exploités ou compromis « , a déclaré Bruneau.
ACTIVER MFA POUR LES COMPTES VPN
À la lumière d’une augmentation attendue des attaques de phishing VPN, l’expert ISC SANS recommande aux entreprises d’examiner de très près l’activation d’une solution d’authentification multifacteur (MFA) pour protéger les comptes VPN contre les accès non autorisés.
Sa recommandation a également été reprise par le NJCCIC et le DHS CISA dans une alerte US-CERT envoyée par l’agence la semaine dernière.
Dans un rapport de l’année dernière, Microsoft a déclaré que l’activation d’une solution MFA pour les comptes en ligne bloque généralement 99,9% de toutes les attaques par prise de contrôle de compte , même si l’attaquant dispose d’informations d’identification valides pour le compte de la victime.
LES SERVEURS VPN DOIVENT ÊTRE CORRIGÉS ET À JOUR
Mais en plus de protéger les comptes VPN avec le MFA pour les employés travaillant à domicile, CISA a également recommandé aux entreprises de revoir les niveaux de correction des produits VPN d’entreprise. Le même conseil a également été répété aujourd’hui dans une alerte de sécurité Radware.
CISA et Radware soulignent que les solutions VPN d’entreprise ont été la cible d’un large éventail d’attaques qui ont commencé au cours de l’été 2019.
Attaque les serveurs VPN ciblés de Palo Alto Networks, Fortinet, Pulse Secure et Citrix:
• Avis de sécurité du réseau Palo Alto PAN-SA-2019-0020 , en relation avec CVE-2019-1579 ;
• Avis de sécurité FortiGuard FG-IR-18-389 , en relation avec CVE-2018-13382 ; FG-IR-18-388 en relation avec CVE-2018-13383 ; FG-IR-18-384 , en relation avec CVE-2018-13379 ;
• Avis de sécurité Pulse Secure SA44101 , en relation avec CVE-2019-11510 , CVE-2019-11508 , CVE-2019-11540 , CVE-2019-11543 , CVE-2019-11541 , CVE-2019-11542 ,CVE-2019-11539 , CVE-2019-11538 , CVE-2019-11509 , https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11507 CVE-2019-11507.
• Avis de sécurité Citrix CTX267027 , par rapport à CVE-2019-19781 .
Tous ces systèmes auraient dû être corrigés l’année dernière lorsque les vulnérabilités ont été révélées, et les premières attaques ont commencé à frapper les organisations.
Avec de plus en plus d’entreprises ayant besoin de VPN pour permettre aux travailleurs de se connecter à leurs réseaux privés, le personnel informatique réagit en mettant en place plus de serveurs VPN pour faire face à l’augmentation du trafic.
Le personnel informatique doit maintenant prêter une attention particulière aux nouveaux serveurs VPN qu’ils installent et s’assurer que ces systèmes ont été corrigés pour les vulnérabilités répertoriées ci-dessus, qui sont parmi les vulnérabilités les plus ciblées aujourd’hui.
LE DANGER DES ATTAQUES DDOS SUR LES SERVEURS VPN
Mais avec tant d’organisations déplaçant leurs employés vers des emplois à domicile, une nouvelle menace se profile à l’horizon: les extorsions.
Les pirates pourraient lancer des attaques DDoS sur les services VPN et épuiser leurs ressources, plantant le serveur VPN et limitant sa disponibilité.
Avec le serveur VPN servant de passerelle vers le réseau interne d’une entreprise, cela empêcherait tous les employés distants de faire leur travail, paralysant une organisation qui a peu voire aucun travailleurs sur place.
Radware dit que ces types d’attaques DDoS n’ont même pas besoin d’être de taille massive.
Les attaquants peuvent initier des milliers de connexions SSL à un VPN SSL, puis les laisser suspendus. Le serveur VPN alloue alors des ressources pour faire face au flot de connexions inutiles de l’attaquant ce qui épuise la mémoire et empêche les utilisateurs légitimes d’utiliser le service.
En outre, parce que même le personnel informatique travaillera très probablement à domicile, toute faiblesse laissée dans les serveurs VPN serait exploitée par les attaquants pour couper les administrateurs système de leurs propres serveurs pendant qu’ils saccagent le réseau interne, volent des données propriétaires ou installent des ransomwares.
AUTRES CONSIDÉRATIONS
Mais les serveurs VPN ne sont qu’une option parmi une gamme d’outils de télétravail / à distance disponibles pour les entreprises aujourd’hui.
Le NJCCIC recommande également aux entreprises de porter une attention particulière à la sécurité des applications cloud et Software-as-a-Service (SaaS) que les travailleurs à distance utiliseront dans les prochains mois en raison de l’ épidémie de COVID-19 .
De même, Radware met également en garde contre l’utilisation accrue des connexions RDP (Remote Desktop Protocol) au sein des entreprises dont les effectifs à distance ne cessent d’augmenter. Les points de terminaison et les comptes RDP devront également être correctement sécurisés, tout comme les VPN.
Dernier point, mais non des moindres, Bruneau présente également une série de questions et de considérations auxquelles les entreprises devront réfléchir si elles utilisent des systèmes VPN pour permettre aux travailleurs distants d’accéder à leurs réseaux internes.
- Combien d’utilisateurs simultanés peuvent se connecter en même temps?
- La politique d’entreprise VPN sera-t-elle assouplie pour accueillir le maximum d’employés?
- Qui obtient un accès prioritaire si l’appliance ou le service ne peut pas prendre en charge tout le monde?
- Quelle quantité de bande passante un utilisateur type utilise-t-il?
- Partagez-vous le temps d’accès entre les utilisateurs (c’est-à-dire que chacun obtient 2 heures par exemple)?
- Nombre de licences VPN ou de jetons MFA disponibles?
- Les utilisateurs sont-ils autorisés à utiliser l’ordinateur personnel?
- Si les ordinateurs personnels sont autorisés: (1) Quelle est leur position de sécurité (correctifs, mise à jour AV, etc.)? (2) Peut-on leur faire confiance? (3) À quels fichiers ou partages les employés ont-ils accès?