Smart Working: VPN con impostazioni predefinite lascia 200.000 aziende aperte agli hacker

Smart-Working-VPN-impostazioni-predefinite-aziende-aperte-hacker
Condividi:

La pandemia spinge aziende e dipendenti al lavoro da casa, ma una serie di minacce digitali sfrutta le debolezze intrinseche nel lavoro da remoto con l’obiettivo di eseguire attacchi dannosi. In questo caso parliamo della VPN, la rete virtuale che, spiegato in parole semplici, porta la rete informatica aziendale a casa anche quando si lavora in smart working.

VPN Fortigate di Fortinet, aziende vulnerabili con configurazione predefinite

Lo evidenzia il sito The Hacker News, il quale cita il fornitore della piattaforma di sicurezza di rete SAM Seamless Network: oltre 200.000 aziende che hanno implementato la soluzione VPN Fortigate, con configurazione predefinita per consentire ai dipendenti di connettersi in remoto, sono vulnerabili agli attacchi man-in-the-middle (MitM)*, consentendo agli aggressori di presentare un certificato SSL valido e prendere il controllo in maniera fraudolenta.

* Man in the middle: attacco informatico in cui un criminale informatico ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro.

Cosa dice SAM Seamless Network

Abbiamo scoperto che con la configurazione predefinita la VPN SSL non è protetta come dovrebbe essere ed è vulnerabile agli attacchi MITM“, hanno affermato Niv Hertz e Lior Tashimov di SAM IoT Security Lab.

Il client SSL-VPN di Fortigate verifica solo che la CA [Certificate Authority, ndr] sia stata emessa da Fortigate (o da un’altra CA attendibile), pertanto un utente malintenzionato può facilmente presentare un certificato emesso a un diverso router Fortigate senza generare alcun alert e implementare un attacco man-in-the-middle“.

Convalida del certificato SSL & cos’è la “CA”

La convalida del certificato SSL aiuta a garantire l’autenticità di un sito web o di un dominio, in genere funziona verificandone il periodo di validità, la firma digitale, se è stata emessa da un’autorità di certificazione (CA) di cui può fidarsi e se il soggetto nel certificato corrisponde al server a cui si connette il client.

Qual è il problema di questa VPN non sicura?

Il problema risiede soprattutto (ma non solo) nella configurazione effettuata da personale che si intende di IT ma sottovaluta la sicurezza informatica: la vulnerabilità risiede nell’utilizzo di certificati SSL autofirmati di default da parte delle aziende.

Il certificato può essere falsificato da una terza parte purché sia valido ed emesso da Fortinet o da qualsiasi altra CA attendibile, consentendo così all’aggressore di re-instradare il traffico a un server controllato, decrittografando i contenuti.

Fortinet non verifica però il nome del server, con conseguente possibile autenticazione fraudolenta.

Possibili conseguenze di attacco alla VPN

In uno scenario, i ricercatori hanno sfruttato questa stranezza per decrittografare il traffico del client SSL-VPN Fortinet ed estrarre la password e l’OTP dell’utente.

Un utente malintenzionato può effettivamente utilizzarlo per comunicare con qualsiasi dispositivo interno all’azienda, inclusi punti vendita, data center sensibili, ecc. Si tratta di una grave violazione della sicurezza che può portare a una grave esposizione dei dati“.

La risposta di Fortinet

Fortinet ha affermato di non avere intenzione di risolvere il problema, suggerendo che gli utenti possono sostituire manualmente il certificato predefinito e garantire che le connessioni siano al sicuro dagli attacchi MitM.

Non viene giudicata una vulnerabilità, poiché le appliance VPN Fortinet sono progettate perché i clienti possano fin da subito riconfigurare autonomamente la propria connessione sicura.

Al momento, Fortinet fornisce un avviso quando si utilizza il certificato predefinito: “Stai utilizzando un certificato integrato predefinito, che non sarà in grado di verificare il nome di dominio del tuo server (i tuoi utenti vedranno un avviso). Si consiglia di acquistare un certificato per il tuo dominio e caricalo per l’utilizzo. “

PMI: personale IT non preparato a riconoscere queste vulnerabilità

La questione Fortigate è solo un esempio degli attuali problemi di sicurezza per le piccole e medie imprese, specialmente durante questo periodo di massiccio utilizzo dello smart working” hanno osservato Hertz e Tashimov.

Questi tipi di aziende richiedono una sicurezza quasi di livello aziendale oggigiorno, ma non hanno le risorse e le competenze per mantenere i sistemi di sicurezza aziendali. Le aziende più piccole richiedono prodotti di sicurezza più snelli, semplici e facili da usare che possono essere meno flessibili, ma migliore sicurezza di base“.

Le PMI e le aziende che non possono avvalersi di personale interno dedicato alla cyber security devono considerare quindi servizi di sicurezza informatica gestita, onde evitare di subire danni economici, furti di dati e ricadute reputazionali particolarmente gravi, di cui quasi sempre non sono consapevoli.

Noi Sicurezza aiuta le aziende a valutare, senza impegno, il livello di rischio di attacco hacker a rete informatica e endpoint (pc, smartphone, …)

Scopri di più
Condividi:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.