DKCERT: Forventeligt at sårbare VPN-forbindelser bliver udnyttet i denne tid

Ny rapport peger på, at cyberkriminelles konstante søgen efter det svageste led nu retter sig mod usikre VPN-forbindelser.

- I takt med at sikkerhedsbevidstheden øges og mulighederne for højere sikkerhed bliver bredt ud til flere, er det kun forventeligt, at cyberkriminelle finder nye veje til deres foretagende.

Det siger leder af DKCERT, Henrik Larsen, som en reaktion på oplysningerne om, at cyberkriminelle i stigende grad ses scanne efter sårbare VPN-forbindelser.

Oplysningerne er kommet frem i en rapport, som er udgivet i fællesskab af sikkerhedssværvægterne National Cyber Security Centre (NCSC), US Department of Homeland Security (DHS) og Cybersecurity and infrastructure Agency (CISA).

Billede bekræftes

Rapporten bekræfter overordnet det billede, som Center for cybersikkerhed lagde frem i sin seneste trusselsvurdering, der konkluderer, at der er øget risiko for, at cyberangreb lykkes under pandemien. Det skyldes flere ting, bl.a. at flere arbejder hjemmefra og dermed bliver mere sårbare over for angreb.

Nye arbejdsmetoder og nye teknologier skal tages i anvendelse for første gang af mange brugere, der under normale omstændigheder givetvis har en professionelt drevet it-afdeling til håndtering af driften og sikkerheden. Det gør, at brugerne i travlheden mellem børnepasning, videomøder og almindelig opgavevaretagelse måske ikke lige får indøvet nogle ordentlige sikkerhedsrutiner. Herunder får vurderet om sikkerheden overhovedet er god nok, som det fx er set med den megen fokus på Zoom-platformen.

- Cyberkriminelle vil altid gå efter det svageste led, og VPN kan sagtens i denne tid være det nye svage led. Det meget intensive hjemmearbejde har givet cyberkriminelle nye angrebsflader, og det skaber også et marked for nye kriminelle produkter, som udvikles i takt med efterspørgslen. På den måde fungerer markedsmekanismerne i de kriminelle kredse på samme måde, som de gør uden for, siger Henrik Larsen.

VPN-forbindelser testes af

For at øge sikkerheden tyr mange til VPN-forbindelser, altså virtuelle private netværk (VPN), der krypterer information, som sendes over internettet. En VPN betegnes ofte som en beskyttende tunnel gennem internettet fra brugerens pc til serveren på arbejdspladsen. Med denne er man beskyttet mod aflytning, selvom det skulle lykkes angribere at opsnappe de datapakker, der indgår i kommunikationen.

Men VPN-forbindelser skal også opdateres og holdes ved lige ligesom alt muligt andet. Det er udnytter cyberkriminelle ved at søge efter kendte sårbarheder i VPN-forbindelser. Rapporten påviser bl.a., at aktører forsøger at udnytte sårbarheder i produkter fra Citrix, Pulse Secure, Fortinet og Palo Alto.

Uanset hvilken VPN-forbindelse man bruger, kan det være en falsk tryghed for mange, hvis man ikke sætter sig ind i teknologien, og som minimum sørger for at holde den opdateret.

- Cyberkriminelle har givetvis altid søgt efter sårbarheder i VPN-forbindelser, men det er sandsynligvis blevet intensiveret nu, hvor flere arbejder hjemmefra og bruger VPN. Rapporten her minder os om, at vi ikke kan tillade os at ikke at tænke på sikkerheden. Heller ikke når vi anvender VPN-forbindelser, slutter Henrik Larsen.

Links:

https://www.computerworld.dk/art/251537/hackere-aendrer-strategi-for-at-udnytte-corona-situationen-scanner-vpn-forbindelser-for-saarbarheder

https://www.zdnet.com/article/hackers-are-scanning-for-vulnerable-vpns-in-order-to-launch-attacks-against-remote-workers/ 

https://www.ncsc.gov.uk/news/security-agencies-issue-covid-19-cyber-threat-update

https://fe-ddis.dk/cfcs/nyheder/arkiv/2020/Pages/Cybertruslen-mod-Danmark-under-COVID-19-pandemien.aspx