Norveç Ulusal Siber Güvenlik Merkezi (NCSC), kurumsal ağları ihlal etmek amacıyla uç ağ cihazlarındaki ilgili güvenlik açıklarının tekrar tekrar kullanılması nedeniyle SSLVPN/WebVPN çözümlerinin alternatiflerle değiştirilmesini önermektedir.
Kuruluş, geçişin 2025 yılına kadar tamamlanmasını, ‘Güvenlik Yasası’na tabi kuruluşların veya kritik altyapıda bulunan kuruluşların ise 2024 yılı sonuna kadar daha güvenli alternatifleri benimsemesini tavsiye ediyor.
NCSC’nin Güvenli Yuva Katmanı Sanal Özel Ağ (SSL VPN/WebVPN) ürünleri kullanıcılarına yönelik resmi tavsiyesi, İnternet Anahtar Değişimi (IKEv2) ile İnternet Protokolü Güvenliğine (IPsec) geçiş yapmalarıdır.
SSL VPN ve WebVPN, SSL/TLS protokollerini kullanarak internet üzerinden bir ağa güvenli uzaktan erişim sağlar ve kullanıcının cihazı ile VPN sunucusu arasındaki bağlantıyı bir “şifreleme tüneli” kullanarak güvence altına alır.
IKEv2’li IPsec, periyodik olarak yenilenen bir dizi anahtar kullanarak her paketi şifreleyerek ve doğrulayarak iletişimi güvence altına alır.
“Güvenlik açıklarının ciddiyeti ve bu tür güvenlik açıklarının aktörler tarafından tekrar tekrar kullanılması, NCSC’nin SSL/TLS kullanan güvenli uzaktan erişim çözümlerinin daha güvenli alternatiflerle değiştirilmesini önerdiği anlamına geliyor. NCSC, İnternet Anahtar Değişimi ile İnternet Protokol Güvenliği’ni (IPsec) öneriyor (IKEv2),” NCSC duyurusunu okuyor.
Siber güvenlik kuruluşu, IKEv2’li IPsec’in kusurlardan arınmış olmadığını kabul etse de, buna geçiş yapmanın, SSLVPN’e kıyasla yapılandırma hatalarına karşı daha düşük toleransa sahip olması nedeniyle güvenli uzaktan erişim olaylarına yönelik saldırı yüzeyini önemli ölçüde azaltacağına inanıyor.
Önerilen uygulama tedbirleri şunları içerir:
- Mevcut VPN çözümlerini yeniden yapılandırma veya değiştirme
- Tüm kullanıcıları ve sistemleri yeni protokole geçirme
- SSLVPN işlevselliğini devre dışı bırakma ve gelen TLS trafiğini engelleme
- Sertifika tabanlı kimlik doğrulamayı kullanma
IPsec bağlantılarının mümkün olmadığı durumlarda NCSC bunun yerine 5G geniş bant kullanılmasını öneriyor.
Bu arada NCSC, VPN çözümleri IKEv2 seçeneğiyle IPsec sunmayan ve geçişi planlamak ve yürütmek için zamana ihtiyaç duyan kuruluşlar için geçici önlemleri de paylaştı.
Bunlar arasında merkezi VPN etkinliği günlüğünün uygulanması, sıkı coğrafi sınırlama kısıtlamaları ve VPN sağlayıcılarından, Tor çıkış düğümlerinden ve VPS sağlayıcılarından erişimin engellenmesi yer alır.
ABD ve İngiltere de dahil olmak üzere diğer ülkeler de IPsec’in diğer protokoller yerine kullanılmasını önerdi.
Çok sayıda istismar edilen SSLVPN kusuru
Çoğu şirketin takip ettiği açık bir standart olan IPsec’in aksine, SSLVPN’in bir standardı yoktur, bu da ağ cihazı üreticilerinin kendi protokol uygulamalarını oluşturmalarına neden olur.
Ancak bu, yıllar içinde Cisco, Fortinet ve SonicWall’un SSL VPN uygulamalarında bilgisayar korsanlarının ağları ihlal etmek için aktif olarak yararlandığı çok sayıda hatanın keşfedilmesine yol açtı.
Örnek olarak Fortinet, Şubat ayında Çinli Volt Typhoon hack grubunun, Hollanda askeri ağı da dahil olmak üzere kuruluşlara sızmak için iki FortiOS SSL VPN açığından yararlandığını açıkladı.
2023’te Akira ve LockBit fidye yazılımı operasyonları, kurumsal ağları ihlal etmek, verileri çalmak ve cihazları şifrelemek için Cisco ASA yönlendiricilerindeki sıfır gün SSL VPN’den yararlandı.
Aynı yılın başlarında bir Fortigate SSL VPN güvenlik açığı, hükümete, üretime ve kritik altyapıya karşı sıfır gün olarak kullanıldı.
NCSC’nin tavsiyeleri, kuruluşun Kasım 2023’ten bu yana kritik altyapıda kullanılan Cisco ASA VPN’lerinde birden fazla sıfır gün güvenlik açığından yararlanan gelişmiş bir tehdit aktörü hakkında yakın zamanda uyarıda bulunmasının ardından geldi.
Cisco, söz konusu kampanyayı ‘ArcaneDoor’ olarak açıkladı ve bunu, cihazın SSL VPN hizmetleriyle ilişkili WebVPN oturumlarına yetkisiz erişim sağlayan ‘UAT4356’ veya ‘STORM-1849’ olarak izlenen tehdit grubuna bağladı.
Saldırılar, bilgisayar korsanlarının kimlik doğrulamayı atlama, cihazı ele geçirme ve yönetici haklarına ayrıcalık yükseltme olanağı sağlayan CVE-2024-20353 ve CVE-2024-20359 adlı iki sıfır günün istismarını içeriyordu.
Cisco iki güvenlik açığını 24 Nisan’da düzeltmiş olsa da siber güvenlik ve ağ ekipmanı firması, tehdit aktörlerinin başlangıçta cihaza nasıl erişim sağladığını belirleyemedi.