Sobre el autor
Brendon Macaraeg es director de marketing de productos en Signal Sciences. Anteriormente en CrowdStrike y Symantec, se centró en evangelismo y ofertas de seguridad de marketing.
Considere el ataque de la "cadena de suministro". Muchos proveedores de VPN confían en centros de datos de terceros para obtener recursos informáticos, lo que representa un riesgo. Los proveedores de VPN terminan confiando en el proveedor del centro de datos para aplicar las mejores prácticas de seguridad.
Es comprensible que el proveedor del centro de datos use un sistema de administración remota para monitorear y administrar los servidores que revende para el uso de otras compañías, pero los atacantes pueden usar mal dichos sistemas. Cuando se combinan con cuentas de usuario inactivas pero válidas, los atacantes pueden obtener acceso a través de ataques de fuerza bruta y luego acceder a los sistemas / hosts en el entorno objetivo.
Tomemos el caso de NordVPN: un atacante ha obtenido acceso de root a uno de los miles de servidores de NordVPN al explotar un sistema de gestión remota no seguro utilizado por el proveedor del centro de datos, que NordVPN dice no saber.
NordVPN indica que si los atacantes hubieran podido usar claves privadas para interceptar y mostrar el tráfico de algunos de sus clientes, se habrían visto obligados a escuchar el enrutamiento de las comunicaciones a través de solo uno de los servidores de la compañía.
Pero con el acceso a este sistema de gestión remota, muy probablemente una Interfaz de gestión de plataforma inteligente (IPMI), el atacante podría tener derecho a instalar un registrador de tráfico, por ejemplo. Existe un riesgo definido para cualquier cliente de NordVPN que use sesiones VPN en el servidor comprometido.
Sumérgete en la vulnerabilidad de NordVPN
El servidor comprometido fue proporcionado por Oy Creanova Hosting Solutions Ltd., que, según su sitio web, ofrece administración remota (IPMI). NordVPN no puede afirmar que ignora el uso del sistema de administración remota por parte del proveedor del centro de datos y ha reconocido públicamente que "debería haber hecho más para filtrar proveedores de servidores poco confiables y garantizar seguridad de sus clientes ".
Las cuentas de VPN y Protocolo de escritorio remoto (RDP) han estado causando violaciones de datos durante años. Muchas compañías han visto a atacantes extraer millones de registros de tarjetas de crédito de los clientes cuando sus contratistas de computadoras o procesadores de pagos habían usado las mismas credenciales remotas (las violaciones de Hilton y Trump Hotel son ejemplos notables de este escenario de ataque).
A menudo se dice que la seguridad concierne a "las personas, los procesos y las herramientas" que constituyen la postura de seguridad de una organización y la resistencia que resulta. Para cualquier organización, confiar en terceros para proporcionar servicios o infraestructura para administrar su negocio plantea un riesgo: como clientes de proveedores de infraestructura, las organizaciones confían en ellos para tener el personal -hacer y habilidades necesarias) para seguir un proceso eficiente y seguro. herramientas de manera efectiva. Para reducir el riesgo, las organizaciones deben realizar auditorías anuales que incluyen la infraestructura proporcionada por el proveedor externo, así como cualquier persona o elemento que tenga acceso a él.
(Crédito de la imagen: NordVPN)
Aprende de NordVPN
Con demasiada frecuencia, las empresas confían en sus proveedores externos para garantizar buenas prácticas de seguridad y cumplir con las mejores prácticas de seguridad cibernética, pero la seguridad de su negocio no solo debe culparlos; su organización también es responsable de ellos.
Esto es lo que debe recordar de esta brecha y cómo implementar estas lecciones para ir desde el frente:
Las relaciones con terceros representan un riesgo significativo.
Las empresas no deben asumir que sus proveedores de la cadena de suministro toman todas las medidas necesarias para evitar el acceso no autorizado. El riesgo puede ser introducido por proveedores externos que no siguen las mejores prácticas o tienen deficiencias en sus propias operaciones de seguridad, como no auditar su información de inicio de sesión, eliminar cuentas en espera o seguir buenos procesos comerciales. Infraestructura de clave pública. Tácticas como el uso de software de oficina remota / información de gestión comprometida para acceder de forma remota a otros hosts en la red de destino o la introducción de malware en el punto de venta explotar los procesos de seguridad deficientes y la gestión inadecuada de la autenticación del usuario.
Cualquier empresa con un modelo comercial distribuido debe evaluar los procesos de seguridad dentro de una infraestructura u oficina externa de terceros para evitar el acceso no autorizado.
El modelo de franquicia, por ejemplo, es muy vulnerable a las intrusiones porque la seguridad del negocio depende tanto de los sistemas informáticos existentes como de las prácticas de seguridad (o la falta de ellas) en las operaciones del franquiciado. El hotel y las cadenas hoteleras son un ejemplo. A menudo confían en procesadores de pago de terceros que explotan herramientas de acceso / administración remota que tienen información de identidad baja o expuesta. Esta práctica presenta un riesgo que podría reducirse o eliminarse mediante la rotación forzada de contraseñas de identificación, así como mediante la auditoría y eliminación de cuentas en espera.
Practique la gestión segura del ICP.
Aunque el certificado TLS tomado por el atacante ha expirado, debería haberse revocado por completo. (En el caso de la violación TorGard, sin embargo, esta práctica estaba en su lugar).
Use herramientas de monitoreo de red para mantenerse un paso adelante.
¿Podría NordVPN haber evitado eso? Si administraron sus propias instancias de servidor en el centro de datos (suponiendo que lo hagan, la actividad principal es proporcionar conectividad de red encriptada a los usuarios finales), podrían haber use herramientas de monitoreo de red para detectar actividades inusuales e inesperadas en la administración remota. sistema y consultar a su proveedor de centro de datos al respecto.
La responsabilidad recae en el proveedor del servicio VPN.
Incluso con un acuerdo de nivel de servicio, lo mismo se aplica a la responsabilidad final, así como a las precauciones y procedimientos de seguridad correspondientes. Una auditoría regular de su entorno como parte de una evaluación integral de seguridad, combinada con pruebas de intrusión y otros ejercicios de seguridad, contribuiría en gran medida a mejorar la resistencia de la seguridad.
- También presentamos los mejores servicios de VPN de 2019