O serviço gratuito de rede privada virtual (VPN) Quickfox, que fornece acesso a sites chineses de fora do país, expôs as informações de identificação pessoal (PII) de mais de um milhão de usuários apenas na última falha de segurança VPN de alto perfil.
O incidente fez com que alguns profissionais de segurança questionassem se as VPNs são uma tecnologia desatualizada.
Pesquisadores da WizCase descobriram que a Quickfox configurou incorretamente a segurança da pilha Elasticsearch, Logstash e Kibana (ELK) do serviço VPN . O trio de programas ajuda a gerenciar as pesquisas, explicou o relatório.
“Quickfox configurou restrições de acesso de Kibana, mas não configurou as mesmas medidas de segurança para seu servidor Elasticsearch”, de acordo com o relatório. “Isso significa que qualquer pessoa com um navegador e uma conexão com a Internet pode acessar os registros do Quickfox e extrair informações confidenciais sobre os usuários do Quickfox.”
Os usuários do Quickfox na China, Indonésia, Japão, Cazaquistão e Estados Unidos foram afetados, descobriram os pesquisadores, acrescentando que um total de 500 milhões de registros e 100 GB de dados foram expostos.
Os dados vazados caíram em uma de duas categorias, disse o relatório – PII como e-mails e números de telefone – mas também informações sobre software nos dispositivos de cerca de 300.000 usuários Quickfox.
“Os dados do vazamento expõem os nomes de outros softwares instalados nos dispositivos dos usuários, bem como a localização do arquivo, a data de instalação e o número da versão. Não está claro por que a VPN estava coletando esses dados, já que são desnecessários para o seu processo e não é uma prática padrão observada com outros serviços VPN ”, disseram os pesquisadores no relatório.
VPNs vulneráveis, mas Zero-Trust é um incômodo
Desde a pandemia, o uso de VPN por organizações explodiu para ajudar os trabalhadores remotos a acessar os sistemas necessários para realizar seus trabalhos. Archie Agarwal, CEO da ThreatModeler, disse ao Threatpost que sua pesquisa mais recente identificou mais de um milhão de VPNs online apenas nos EUA.
Mas após falhas espetaculares de segurança VPN, como a violação Colonial Pipeline e o vazamento de milhares de credenciais de contas VPN Fortinet, o governo dos Estados Unidos decidiu pesar e emitir orientações sobre como proteger VPNs, incluindo a procura de um serviço com criptografia forte e gerenciamento de acesso. Um serviço que corrige ativamente vulnerabilidades conhecidas também é uma vantagem.
Adotar um modelo de segurança de confiança zero é uma solução para confiar em VPNs, mas isso é caro e difícil de implementar, disse Chris Morgan, analista da Digital Shadows.
“Embora os modelos de confiança zero possam de fato ser uma solução mais segura, sua adoção resultará em um custo logístico e financeiro maior”, disse Morgan. “Muitas empresas provavelmente acharão o uso contínuo de uma VPN uma solução de curto prazo mais pragmática.”
Mas Agarwal argumenta que as VPNs precisam ser totalmente desativadas.
“Estas são as portas de entrada para redes internas confidenciais privadas e ficam expostas ao mundo para que qualquer vilão tente invadir”, disse Agarwal ao Threatpost. “Eles representam o antigo paradigma do perímetro e falharam em proteger o castelo interno uma e outra vez. Se as credenciais vazarem ou forem roubadas, ou novas vulnerabilidades forem descobertas, o jogo termina e o castelo desmorona. As novas abordagens de confiança zero defendidas pelo governo dos Estados Unidos e pelo NIST colocam essa porta pública offline e lançam uma capa invisível sobre toda a rede. ”
O comportamento do usuário é um grande driver
O comportamento do usuário do funcionário é outra grande consideração, Heather Paunet, vice-presidente sênior da Untangle, explicou ao Threatpost.
“Seguindo em frente, devemos levar o elemento humano em consideração”, disse Paunet. “Os profissionais de TI têm o desafio de fazer com que os funcionários usem a tecnologia com eficácia. Se a VPN for muito difícil de usar ou tornar os sistemas mais lentos, é provável que o funcionário a desligue. O desafio para os profissionais de TI é encontrar uma solução VPN que seja rápida e confiável para que os funcionários a liguem uma vez e esqueçam. ”
Paunet acrescentou que as soluções VPN continuam a melhorar em facilidade de uso e segurança.
No entanto, Timur Kovalev disse ao Threatpost que é hora dos administradores de TI exigirem dos funcionários que aumentem seu jogo de segurança cibernética, independentemente de quão irritante seja.
“Para combater os funcionários que nem sempre usam conexões VPN e fornecer outra camada de segurança, os administradores procuraram exigir 2FA [autenticação de dois fatores] para mais sistemas do que antes”, disse ele. “Isso significa que eles também podem escolher se querem usar 2FA para cada login, o que é mais ‘irritante’ para os funcionários ainda mais seguro, ou usar 2FA periodicamente, ou depois que um dispositivo é confiável, o que é mais fácil para os funcionários, mas não tão seguro . ”
Kovalev sugeriu ao Threatpost que as apostas são muito altas para ignorar o comportamento do usuário.
“Com os recentes ataques de ransomware e violações de alto perfil, como SolarWinds, JBS, Pulse Secure e Kaseya VSA, os administradores de TI devem considerar o uso de opções mais seguras”, acrescentou Kovalev. “Isso também envolverá o treinamento de seus funcionários em como navegar pelas ferramentas menos fáceis de usar, bem como explicar aos funcionários por que essas medidas são necessárias e o que eles podem fazer para não serem vítimas de qualquer tipo de violação de segurança.”
De forma preocupante, Tyler Shields com JupiterOne prevê que mais ataques VPN virão.
“A descoberta de exploits tendem a se agrupar com o tempo”, disse Shields ao Threatpost. “No futuro, espero que explorações adicionais baseadas em tecnologia de rede sejam divulgadas conforme os hackers continuam a visar esses tipos de dispositivos.”
