Norveç Ulusal Siber Güvenlik Merkezi (NCSC), geçmişte uç ağ cihazlarında saldırganların kurumsal ağları ihlal etmesine izin veren güvenlik açıklarından tekrar tekrar yararlanılması nedeniyle kuruluşlara SSLVPN ve WebVPN çözümlerini daha güvenli alternatiflerle değiştirmeleri konusunda tavsiyede bulunan bir öneri yayınladı.
Norveç Güvenlik Otoritesinin bir alt bölümü olan Ulusal Siber Güvenlik Merkezi (NCSC), siber saldırıları önlemek, tespit etmek ve bunlara yanıt vermek için ulusal çabaları koordine etmede Norveç’in birincil irtibat noktası olarak işlev görmenin yanı sıra siber saldırıları geliştirmek için stratejik rehberlik ve teknik destek sağlar. Ülkenin genel siber güvenlik duruşu. Buna risk değerlendirmeleri yapmak, tehdit istihbaratını yaymak ve hem kamu hem de özel sektörde en iyi uygulamaları teşvik etmek dahildir.
NCSC’nin kılavuzu, daha sağlam ve güvenli uzaktan erişim protokollerine geçişi savunarak, özellikle kritik altyapı sektörlerinde yer alan kuruluşların güvenlik duruşunu geliştirmeyi amaçlıyor.
SSLVPN ve WebVPN’in Güvenli Alternatiflerle Değiştirilmesi
NCSC’nin tavsiyesi, SSL VPN ve WebVPN’in, SSL/TLS protokolleri aracılığıyla internet üzerinden güvenli uzaktan erişim sağlarken, doğasındaki güvenlik açıkları nedeniyle defalarca hedef alındığının kabul edilmesiyle desteklenmektedir.
Bu çözümler, kullanıcının cihazı ile VPN sunucusu arasındaki bağlantıyı güvence altına almak için bir “şifreleme tüneli” oluşturur. Ancak, bu güvenlik açıklarının kötü niyetli aktörler tarafından istismar edilmesi, NCSC’nin kuruluşlara İnternet Anahtar Değişimi (IKEv2) ile İnternet Protokolü Güvenliğine (IPsec) geçiş yapmalarını tavsiye etmesine yol açtı.
IKEv2’li IPsec, güvenli uzaktan erişim için NCSC’nin önerilen alternatifidir. Bu protokol, periyodik olarak yenilenen anahtarları kullanarak her veri paketini şifreler ve doğrular. Hiçbir protokolün tamamen hatasız olmadığını kabul etmesine rağmen NCSC, IKEv2’li IPsec’in, özellikle SSLVPN’e kıyasla yapılandırma hatalarına karşı daha düşük toleransı nedeniyle, güvenli uzaktan erişim olaylarına yönelik saldırı yüzeyini önemli ölçüde azalttığına inanıyor.
NCSC, geçiş sürecini gecikmeden başlatmanın önemini vurguluyor. Güvenlik Yasasına tabi veya kritik altyapı olarak sınıflandırılan kuruluşların geçişi 2024 yılı sonuna kadar tamamlamaları teşvik edilirken, diğer tüm kuruluşların geçişi 2025 yılına kadar tamamlamaları teşvik ediliyor.
IPsec’in diğer protokollere göre benimsenmesi önerisi Norveç’e özgü değildir; ABD ve Birleşik Krallık dahil olmak üzere diğer ülkeler de benzer yönergeleri onaylayarak IPsec’in IKEv2 ile sunduğu gelişmiş güvenlik konusundaki küresel fikir birliğinin altını çizdi.
Önleyici bir tedbir olarak NCSC, IPsec bağlantısı kurmanın mümkün olmadığı yerlerde alternatif olarak mobil veya mobil geniş banttan 5G’nin kullanılmasını da tavsiye etti.
Tavsiye, Sömürüye İlişkin Daha Önceki Bildirimin Ardından Geliyor
Geçtiğimiz ay, Norveç Ulusal Siber Güvenlik Merkezi, saldırganların kritik altyapı tesislerini güçlendirmek için kullanılan Cisco ASA VPN’deki birden fazla sıfır gün güvenlik açığından yararlandığı SSLVPN ürünlerine yönelik hedefli bir saldırı kampanyası hakkında bir bildirim yayınlamıştı. Kampanya Kasım 2023’ten beri gözlemleniyordu.
Öncelikle kritik altyapı işletmelerine yönelik olan bu bildirim, kampanyadaki giriş vektörü bilinmemekle birlikte, en az bir veya daha fazla sıfır gün güvenlik açığının varlığının, potansiyel olarak harici saldırganların belirli koşullar altında kimlik doğrulamayı atlamasına, cihazlara izinsiz girmesine ve kendilerine idari izin vermesine izin verdiği konusunda uyardı. ayrıcalıklar.
Bildirimde, anonimleştirme hizmetleri (VPN sağlayıcıları ve Tor çıkış düğümleri) ve VPS sağlayıcıları gibi güvenli olmayan altyapılardan hizmetlere erişimin engellenmesi gibi saldırılara karşı korunmaya yönelik çeşitli öneriler paylaşıldı. Cisco bu güvenlik açıklarını gidermek için önemli güvenlik güncellemeleri yayınladı.
Daha önceki bildirimde, VPN sağlayıcısından bağımsız olarak bu tür VPN ürünlerinde kritik güvenlik açıklarının bulunması nedeniyle işletmelerin SSLVPN/istemcisiz VPN ürün kategorisinden IKEv2 ile IPsec’e geçmeleri önerildi. NCSC, yardıma ihtiyacı olan işletmelerin kendi sektörleri olan CERT veya MSSP ile iletişime geçmelerini önerir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.