NCSC geeft meer een advies voor diegenen die gebruik maken van Vpn ‘ s getroffen door Chinese cybercriminelen

Het Nationaal Cyber Security Centrum (NCSC) in het verenigd koninkrijk is uitgegeven nader advies aan de gebruikers van bepaalde Vpn ‘ s die werden aangevallen door een Chinese state-sponsored hacken van de groep (APT5).
De organisatie is ook verdere beperkende maatregelen voor degenen die hebben ontdekt de exploitatie van hun VPN (of degenen die al eerder het doelwit van APT of andere cyber-aanval).
Het NCSC herinnert ons er ook aan dat alle huidige activiteiten in verband met deze bedreigingen voor de Vpn ‘ s kunnen worden gemeld via de organisatie van de website.
En natuurlijk moet u controleren VPN-instellingen, zoals de organisatie adviseert: “het Controleren van alle configuratie opties voor onbevoegde wijzigingen. Dit omvat de SSH authorized_keys bestand, nieuw iptables regels en commando ‘ s uitvoeren op het aansluiten van klanten. Als je goede back-ups van de configuratie kunt herstellen het herstellen van deze verstandig.”
Natuurlijk, als u gebruik maken van deze Vpn ‘ s, hopelijk heb je al toegepast op de relevante patch – maar indien niet, natuurlijk, dat moet een absolute prioriteit.
Systeembeheerders die vermoeden dat de exploitatie of het hacken van kan hebben plaatsgevonden opnieuw admin en referenties van de gebruiker die tegen het risico van diefstal voor de hand liggende redenen.
De organisatie merkt voorts op: “Beheerders moeten ook kijken naar bewijs van gecompromitteerde accounts in active gebruik, zoals abnormale IP-locaties of tijden.”
Systeem beheerder moet ook blijven logboeken voor de VPN -, en inderdaad alle netwerk verkeer via de VPN -, controle op rode vlaggen zoals verbindingen van zeldzame IP-adressen.

Aanvullende oplossingen

Volgende patchen, maar het NCSC is een beeld geschetst van een aantal aanvullende maatregelen op het opsporen als u al gemaakt, en aanvullende oplossingen.
Dat omvat uitlokking van twee-factor authenticatie voor de VPN, als die beschikbaar is met de service, en voor het uitschakelen van functies (of poorten) die niet worden gebruikt door het VPN. Dit is wat bekend staat als het verminderen van uw bedreiging oppervlak, natuurlijk – als je het niet nodig hebt spullen, het kan worden uitgeschakeld, en dus een mogelijke exploitatie van die specifieke functionaliteit is daarom onmogelijk gemaakt.
De eerste klanten van deze Vpn ‘ s moet de actie is om een kam door hun logs er enig bewijs van een compromis – vooral als de eerder genoemde patches pas sinds kort toegepast.
Verdere details over hoe om te gaan met dit worden bepaald door het NCSC hier.
Bovendien, het NCSC merkt op dat als u vermoedt dat de uitbuiting heeft plaatsgevonden op een apparaat, maar kan het niet lokaliseren enig bewijs, het kan gewoon veiligste om factory reset het apparaat.
Zoals we vorige maand, Vpn ‘ s in kwestie waren Fortinet en Pulse Veilig, evenals Palo Alto VPN, en zoals we eerder waargenomen, patches uitgebracht voor de beveiliging van gebreken eerder dit jaar – hoewel niet alle bedrijven toegepast, zo blijven kwetsbaar voor uitbuiting door APT5 (of andere cyber-aanval).