Le Centre national norvégien de cybersécurité (NCSC) recommande de remplacer les solutions SSLVPN/WebVPN par des alternatives en raison de l’exploitation répétée des vulnérabilités associées dans les périphériques de réseau de périphérie pour violer les réseaux d’entreprise.
L’organisation recommande que la transition soit achevée d’ici 2025, tandis que les organisations soumises à la « Loi sur la sécurité » ou celles qui se trouvent dans des infrastructures critiques devraient adopter des alternatives plus sûres d’ici la fin de 2024.
La recommandation officielle de NCSC pour les utilisateurs de produits de réseau privé virtuel Secure Socket Layer (VPN SSL / WebVPN) est de passer à la sécurité du protocole Internet (IPSec) avec Échange de clés Internet (IKEv2).
SSL VPN et WebVPN fournissent un accès distant sécurisé à un réseau sur Internet à l’aide des protocoles SSL/TLS, sécurisant la connexion entre l’appareil de l’utilisateur et le serveur VPN à l’aide d’un « tunnel de cryptage ». »
IPSec avec IKEv2 sécurise les communications en chiffrant et en authentifiant chaque paquet à l’aide d’un ensemble de ke périodiquement actualisés
« La gravité des vulnérabilités et l’exploitation répétée de ce type de vulnérabilité par les acteurs font que le NCSC recommande de remplacer les solutions d’accès à distance sécurisé qui utilisent SSL / TLS par des alternatives plus sécurisées. Le NCSC recommande la sécurité du protocole Internet (IPSec) avec échange de clés Internet (IKEv2) », lit-on dans l’annonce du NCSC.
Bien que l’organisation de cybersécurité admette qu’IPSec avec IKEv2 n’est pas exempt de défauts, elle pense que le passage à l’informatique réduirait considérablement la surface d’attaque pour les incidents d’accès à distance sécurisés en raison d’une tolérance réduite aux erreurs de configuration par rapport au SSLVPN.
Les mesures de mise en œuvre proposées comprennent:
- Reconfigurer des solutions VPN existantes ou les remplacer
- Migration de tous les utilisateurs et systèmes vers le nouveau protocole
- Désactivation de la fonctionnalité VPN SSL et blocage du trafic TLS entrant
- Utilisation de l’authentification basée sur des certificats
Lorsque les connexions IPSec ne sont pas possibles, le NCSC suggère d’utiliser plutôt le haut débit 5G.
Parallèlement, NCSC a également partagé des mesures provisoires pour les organisations dont les solutions VPN n’offrent pas l’option IPSec avec IKEv2 et ont besoin de temps pour planifier et exécuter la migration.
Celles-ci incluent la mise en œuvre d’une journalisation centralisée des activités VPN, des restrictions strictes de géorepérage et le blocage de l’accès des fournisseurs VPN, des nœuds de sortie Tor et des fournisseurs VPS.
D’autres pays ont également recommandé d’utiliser IPSec plutôt que d’autres protocoles, notamment les États-Unis et le Royaume-Uni.
Une abondance de failles SSLVPN exploitées
Contrairement à IPSec, qui est une norme ouverte que la plupart des entreprises suivent, SSLVPN n’a pas de norme, ce qui oblige les fabricants de périphériques réseau à créer leur propre implémentation du protocole.
Cependant, cela a conduit à de nombreux bogues découverts au fil des ans dans les implémentations VPN SSL de Cisco, Fortinet et SonicWall que les pirates exploitent activement pour violer les réseaux.
À titre d’exemple, Fortinet a révélé en février que le groupe de piratage chinois Volt Typhoon exploitait deux failles VPN SSL FortiOS pour violer des organisations, y compris un réseau militaire néerlandais.
En 2023, les opérations de ransomware Akira et LockBit ont exploité un VPN SSL zero-day dans les routeurs Cisco ASA pour violer les réseaux d’entreprise, voler des données et chiffrer les appareils.
Plus tôt cette année-là, une vulnérabilité VPN SSL Fortigate a été exploitée comme un jour zéro contre le gouvernement, la fabrication et les infrastructures critiques.
Les recommandations du NCSC interviennent après que l’organisation a récemment alerté sur un acteur de menace avancé exploitant plusieurs vulnérabilités zero-day dans les VPN Cisco ASA utilisés dans les infrastructures critiques depuis novembre 2023.
Cisco a divulgué la campagne particulière sous le nom de « ArcaneDoor », l’attribuant au groupe de menaces suivi sous le nom de « UAT4356 » ou « STORM-1849 », qui a obtenu un accès non autorisé aux sessions WebVPN associées aux services VPN SSL de l’appareil.
Les attaques impliquaient l’exploitation de deux jours zéro, à savoir CVE-2024-20353 et CVE-2024-20359, qui ont permis aux pirates de contourner l’authentification, de prendre le contrôle de l’appareil et d’élever les privilèges aux droits d’administration.
Bien que Cisco ait corrigé les deux vulnérabilités le 24 avril, la société d’équipement de cybersécurité et de mise en réseau n’a pas pu identifier comment les auteurs de la menace ont initialement accédé à l’appareil.