Meghekkelték a dél-koreai atomenergia kutatóintézetet - már megint egy javítatlan VPN sérülékenység

A dél-koreai Korea Atomic Research Institute (KAERI) bejelentette, hogy a feltehetőleg észak-koreai, állami támogatással működő Kimsuky APT-csoport állhat a május 14-én észlelt támadás mögött. 

Az intézet korábban letagadta, de végül elismerte az incidenst. A támadók egy VPN sebezhetőséget kihasználva férhettek hozzá a KAERI belső hálózatához.

A vizsgálat 13 olyan IP címet azonosított, amelyek közül egy a Kimsuky csoporthoz köthető, amely az észak-koreai hirszerzés (Reconnaissance General Bureau intelligence) alatt működik. A KAERI felelős a dél-koreai nukleáris technológiai kutatásokért, így az incidens súlyos biztonsági kockázatot jelent a dél-koreai nukleáris fejlesztésekre és programokra. 

Egyenlőre nem lehet tudni, hogy mely gyártó sebezhetőségét használták ki a támadók, azonban az utóbbi időben jó néhány VPN sebezhetőséggel kapcsolatban lehetett aggasztó híreket olvasni: 

  • Pulse Secure - CVE-2019-11510 Pulse Connect Secure (PCS): Pre-auth arbitrary file reading
  • Pulse Secure - CVE-2019-11539 Pulse Connect Secure (PCS) and Pulse Policy Secure (PPS) : Post-auth command injection
  • Fortinet - CVE-2018-13379 FortiOS: Pre-auth arbitrary file reading
  • Fortinet - CVE-2018-13382 FortiOS: Unauthenticated SSL VPN users password modification
  • Fortinet - CVE-2018-13383 FortiOS: SSL VPN buffer overrun when parsing javascript href content
  • Citrix NetScaler - CVE-2019-19781: Directory Path Traversal leads to RCE
  • Palo Alto Networks - CVE-2020-2050 PAN-OS: Authentication bypass vulnerability in GlobalProtect client certificate verification
  • Palo Alto Networks - CVE-2020-2005 PAN-OS: GlobalProtect clientless VPN session hijacking
  • Palo Alto Networks -  CVE-2019-1579 PAN-OS: Remote Code Execution in GlobalProtect Portal/Gateway Interface
  • SonicWall - CVE-2020-5135 SONIC-OS: A buffer overflow vulnerability
  • SonicWall - CVE-2019-7481 SonicOS: Blind SQL injection vulnerability which can be exploited remotely
  • SonicWall - CVE-2019-7482 SonicOS: Execute arbitrary commands with nobody privileges on the device
  • SonicWall - CVE-2019-7483 SonicOS: Pre-authentication vulnerability
  • Cisco Systems - CVE-2020-3220 Cisco IOS: Cisco IOS XE software IPsec VPN denial of service vulnerability
  • Moxa - CVE-2020-14511: Moxa’s EDR-G902 and EDR-G903 series secure routers / VPN servers sport a stack-based buffer overflow bug

A gyártók a lehető leggyorsabban kiadják a javításokat, azonban sajnos jelentős elmaradás mutatkozik a javítások alkalmazásában: az érintett szervezetek sokkal lassabban telepítik a javításokat, mint ahogy arra szükség lenne. 

A VPN sérülékenységeket kihasználó, jellemezően automatizált kampányok mellett természetesen a célzott támadások is megszaporodtak, ezért az NSA még 2020 júliusában adott ki egy riasztást a VPN sérülékenységekkel kapcsolatban, amely tartalmaz iránymutatást is a VPN kapcsolatok biztonságossá tételére. 

Javasolt, hogy a szervezetek kövessék nyomon a határvédelmi eszközök sérülékenységeit, és a lehető leggyorsabban telepítsék a javításokat. A VPN-alapú vagy egyéb távoli hozzáférések kockázatát javasolt felmérni, erre jó módszer lehet a teljes távmunka-környezet biztonságát értékelő biztonsági átvilágítás, valamint a VPN infrastruktúra konfiguráció felülvizsgálata és sérülékenységvizsgálata.