Recente exploração de brecha em plataforma VPN destaca que empresas devem levar mais camadas de segurança à tecnologia.
Se tem uma ferramenta que foi — e ainda é — muito utilizada pelas empresas que possuem colaboradores em trabalho remoto é a VPN. E, como qualquer outra plataforma tecnológica para apoiar as operações de uma empresa, ela também está vulnerável a ameaças.
Uma vulnerabilidade recente foi descoberta pela FireEye, companhia norte-americana de cibersegurança. A empresa encontrou várias famílias de malware distribuídas em diversos grupos hackers. Todas elas estavam ligadas a brechas de segurança na versão mobile do software da Pulse Connect Secure VPN, empresa que fornece a tecnologia.
São brechas que, segundo o site Network World, do grupo IDG, são exploradas por cibercriminosos — suspeita-se de espionagem chinesa. Por sinal, uma das falhas ignora a autenticação de dois fatores da VPN, permitindo que um hacker execute remotamente o malware.
Entre os alvos desses hackers, estão entidades públicas e empresas da indústria e do setor financeiro dos Estados Unidos. O objetivo, como na maior parte dos ataques, é roubar credenciais para obter acesso aos sistemas dessas organizações.
Esse recente caso mostra que, apesar de a VPN ser uma camada a mais de segurança, a própria tecnologia precisa de atenção redobrada. Isso porque, quando um criminoso tem acesso às credenciais dessa ferramenta, ele tem uma situação perfeita para invadir uma empresa.
“Uma vez que os hackers tenham essas credenciais, eles não precisam usar e-mails de spear-phishing, não precisam trazer malwarepersonalizado”, diz Sarah Jones, analista sênior da FireEye, empresa norte-americana de segurança cibernética, em entrevista ao site da Wired.
Veja o Embratel Talks sobre os tipos de ataques que podem comprometer sua empresa:
Como funciona uma VPN?
Apesar de entendermos que uma VPN vai nos conectar ao sistema de uma empresa a partir de uma rede privada e segura, há uma complexidade por trás disso. A primeira é que algumas ferramentas dependiam de protocolos IPsec.
Um protocolo IPSec é conhecido como Internet Protocol Security, mas exige uma instalação na máquina e no sistema de um usuário. Ou seja, além de demandar maior tempo na configuração, a empresa pode ter maior custo por precisar de licenças VPN para cada funcionário.
Porém, a popularização do trabalho remoto fez com que as companhias olhassem para outro modelo de VPN, baseado em SSL/TLS. São protocolos que vão criptografar, de ponta a ponta, a informação trocada entre uma máquina e um sistema corporativo.
Essa ponta a ponta vai tanto da informação que é enviada e recebida, quanto do tráfego de rede. A vantagem é que um colaborador pode acessá-la de qualquer lugar com acesso à internet, mas como se estivesse na rede local.
O que difere da VPN SSL/TLS da IPSec é que, na primeira, é possível acessar a rede corporativa a partir de um navegador web padrão. Isso vai exigir configurações e alterações mínimas em uma máquina, deixando-a rapidamente pronta para o trabalho.
Outra diferença é que um computador conectado a uma rede IPSec tem acesso total à rede privada. Em outras palavras, um funcionário tem acesso a todas as informações, porque não há configuração de privilégios, aumentando as chances de exposição.
Já em uma conexão SSL/TLS, é possível configurar túneis, em que o funcionário só irá usar os aplicativos específicos para o seu trabalho. Isso permite que as organizações forneçam direitos de acesso diferentes, de acordo com a hierarquia.
Mas as vulnerabilidades também existem
Como destaca a matéria da Wired, todo software tem vulnerabilidades, mas falhas em VPNs podem trazer sérias implicações para as empresas. Até porque, é por esta tecnologia que informações confidenciais serão trocadas entre diversos dispositivos e sistemas.
O problema, ressalta Troy Mursch, diretor de pesquisa da Bad Packets, empresa de inteligência contra ameaças cibernéticas, é que os times de TI das empresas demoram mais do que o suficiente para identificar e corrigir brechas nas VPNs. Um dos motivos seria o tempo de inatividade dos funcionários, que terão de ficar sem acesso à rede local e, portanto, sem conseguir trabalhar.
A adoção do trabalho remoto deixou a tecnologia, assim como suas falhas, ainda mais em evidência. No caso da Pulse Connect Secure, apesar de um patch ter sido disponibilizado para mostrar se uma máquina foi infectada, a correção da VPN deve demorar quase um mês para ser lançada.
Aliás, a Mandiant, subsidiária de segurança cibernética da FireEye, aconselha que quem utiliza os serviços da Pulse Connect investigue o comprometimento das credenciais de usuários.
“A Ivanti (controladora da Pulse Connect) recomenda redefinir todas as senhas no ambiente e revisar a configuração para garantir que nenhuma conta de serviço possa ser usada para autenticar a vulnerabilidade”, diz um trecho da nota publicada no blog da empresa.
Afinal, outra oportunidade para os hackersé a quantidade de funcionários que usam a tecnologia: quanto mais pessoas estão acessando uma VPN, mais difícil se torna detectar um acesso não autorizado.
Ainda há a questão de que as empresas têm uma postura reativa. Apesar de muitas comunidades de segurança realizarem um trabalho colaborativo para encontrar e alertar sobre brechas das aplicações, as organizações não conseguem se antecipar com correções ágeis e necessárias.
Essa demora implica em algo preocupante: os hackerspodem fazer engenharia reversa depois que um patch de segurança é atualizado. Ou seja, invadir uma VPN é algo tão silencioso que muitas empresas nem vão considerar a tecnologia quando forem vítimas de um incidente.
Quer saber como fortalecer a segurança das suas aplicações corporativas? Confira estes conteúdos do Mundo + Tech:
- Como um VPN as a Service vai fornecer segurança ao home office?
- Por que o trabalho home office exige maior segurança dos dispositivos IoT?
- Segurança dos dados: quais as melhores práticas durante o trabalho remoto?
Principais destaques da matéria
- Brecha de segurança em software de VPN traz alerta sobre a segurança da solução, que passou a ser muito utilizada durante a pandemia.
- Apesar de a VPN ser uma camada a mais de segurança, a própria tecnologia precisa de atenção redobrada.
- Quantidade de usuários da VPN pode tornar difícil a detecção de acessos não autorizados. Por isso é importante que a sua empresa se preocupe com a segurança da rede privada.
