L’intelligence americana della National Security Agency (NSA) segue l’esempio britannico mettendo in guardia contro la presenza di gravi vulnerabilità nelle VPN (Virtual Private Network).
L’alert della NSA, che segue quello diramato ad aprile dall’US-Cert, chiama gli amministratori di rete a correggere una serie di bug di sicurezza che negli ultimi mesi hanno portato ad attacchi diretti alle VPN. Secondo il bollettino NSA, pubblicato lo scorso 7 ottobre, gruppi di hacker state-sponsored starebbero attivamente prendendo di mira i bug delle procedure di connessione da remoto delle VPN.
“Queste vulnerabilità consentono il download di file e l’esecuzione di codice da remoto gateway Pulse Connect Secure e Pulse Policy Secure. Altre vulnerabilità consentono l’intercettazione o il dirottamento di sessioni di traffico crittografate” ha avvertito l’NSA. “Inoltre, l’exploit è disponibile gratuitamente online tramite le piattaforme Metasploit e GitHub”.
Il bollettino NSA arriva sulla scia di una alert del 2 ottobre emesso nel Regno Unito dal National Cyber Security Centre (NCSC), che aveva individuato questi attacchi del tipo Advanced Persistent Threat (APT) basati su questi bug sia nel settore privato che in quello governativo, da istituzioni militari e accademiche a imprese e operatori sanitari.
“Un utente malintenzionato potrebbe utilizzare queste credenziali per connettersi alla VPN e modificare le impostazioni di configurazione o connettersi a ulteriori infrastrutture interne“, ha avvertito l’NCSC. “La connessione non autorizzata a una VPN potrebbe anche fornire all’attaccante i privilegi necessari per eseguire exploit secondari finalizzati all’accesso a una shell di root.” In particolare, l’NCSC aveva individuato le vulnerabilità nei prodotti di vendor come Pulse Secure, Fortinet e Palo Alto.