A diferencia de lo que se pensaba inicialmente, los ciberdelincuentes, además de espiar el tráfico de las conexiones a Internet, pueden mantener la apariencia de que la conexión VPN sigue siendo segura, cuando no lo es. De hecho, esta red privada virtual se vuelve vulnerable. De ahí que el 56% de las empresas hayan sufrido ataques de este tipo.
Esta conclusión puede extraerse del reciente ‘Informe de Riesgo VPN 2024’, elaborado por Zscaler. El estudio, revisado por Cybersecurity Insiders, encuestó a más de 600 profesionales de los sectores de seguridad, TI y redes. Tras él, se llegó a la conclusión de que las VPN presentaba serias dificultades y que por ello es una necesidad imperiosa implantar una arquitectura de Zero Trust más sólida.
Recientes violaciones de alto perfil con VPN
Así es como se han visto dos ataques inminentes que han supuesto consecuencias muy negativas para las empresas. Hablamos del fabricante Ivanti (CVE-2023-46805 y CVE-2024-21887), en el que los ciberdelincuentes pudieron realizar bypass de autenticación y exploits de inyección remota de comandos.
Por todo ello, Cybersecurity and Infrastructure Security Agency (CISA) emitió un comunicado de emergencia para que las agencias federales cortasen, de manera urgente, las conexiones con dispositivos VPN comprometidos.
Además, destaca la vulnerabilidad del sistema operativo de Palo Alto Networks CVE-2024-3400). Con ella, los usuarios no autenticados explotaron el sistema operativo del proveedor de seguridad para infiltrarse en la red. Como consecuencia, se obtuvo la máxima puntuación de gravedad en vulnerabilidad.
Principales desafíos de seguridad de VPN
Hay que tener en cuenta que pese a servir como aliadas para acceder de manera remota a las redes, las ciberamenazas han empezado a reinar entre las VPN. Los riesgos de las VPN son claros. Así es como el 91% de los encuestados expresó su preocupación con respecto a las VPN como puntos de entrada vulnerables de su infraestructura de TI, acentuada por las recientes brechas que expusieron los peligros de confiar en una infraestructura de VPN desactualizada o sin parches.
De ahí el valor de que las empresas se anticipen a los actores de amenazas, cada vez más activos. Con una arquitectura Zero Trust se reducirá significativamente la superficie de ataque al suprimir tecnologías legadas como las VPN y los firewalls, implantando controles de seguridad con inspección TLS y limita el radio de explosión con segmentación. De este modo, se prevén brechas perjudiciales.
Explotación de vulnerabilidades clave de VPN
De igual modo, el informe elaborado por Zscaler identifica los ataques de ransomware (en el 42% de los casos), las infecciones de malware (35%) y los ataques DDoS (30%) como las principales amenazas que se sirven de las vulnerabilidades de VPN. De este modo, las estadísticas enfatizan los importantes riesgos que enfrentan las organizaciones debido a las debilidades inherentes en las arquitecturas tradicionales de VPN. Por todo ello, es importante reforzar la necesidad de una arquitectura de Zero Trust.
Último ataque de VPN
El reciente ataque ‘TunnelVision’ permite enrutar tráfico fuera de una conexión VPN cifrada. A partir de ahí, los ciberdelincuentes pueden espiar el tráfico de la conexión y mantener su apariencia de que la VPN sigue siendo segura. En un informe elaborado por Leviathan Security, se aprecia que la ‘opción 121’ del protocolo DHCP sufrió la creación de un servidor clandestino que alteró las tablas de enrutado para que todo el tráfico VPN se envíe directamente a donde deseasen los atacantes.
Ya anteriormente, en el año 2015, se detectaron estos movimientos, pero no se tuvieron en cuenta. Hay muchas organizaciones afectadas, como CISA y EFF por esta vulnerabilidad (CVE-2024-3661).
De este modo, las redes Wi-Fi públicas son potenciales escenarios de vulnerabilidad por parte de los atacantes. Muchas de ellas son susceptibles de manipulación del enrutado y tienen activados los servicios DHCP por defecto. No obstante, para que el ataque diese sus frutos, el usuario debería conectarse a ese servidor DHCP clandestino antes de hacerlo al servidor legítimo de la red.
¿Cómo actuar para defenderse?
El informe concluye que el 78% de las empresas desea implementar medidas de seguridad Zero Trust en el próximo año. Son conscientes de que las amenazas se movieron lateralmente en la red, reflejando fallos de contención importantes.
De ahí que para reducir las vulnerabilidades VPN sea tan importante una arquitectura Zero Trust que permita: minimizar la superficie de ataque (las aplicaciones se vuelve invisibles en Internet y más difíciles de atacar), prevenir el compromiso con el tráfico online (será importante inspeccionar contenidos y bloquear la actividad maliciosa, además de proteger los recursos frente al acceso no autorizado) y eliminar el movimiento lateral segmentado (conectando a los usuarios directamente a las aplicaciones en lugar de a la red y limitando las oportunidades de acceso no autorizado y la propagación lateral de los atacantes).
Todo pasa porque los usuarios no se conectasen a redes no fiables, aunque existen medidas adicionales avanzadas, como establecer reglas especiales en los firewalls.
