VPN पोस्ट-एक्सप्लॉयटेशन: आक्रमणकारियों द्वारा नेटवर्क पर नियंत्रण बढ़ाने की नई तकनीकें
अकामाï के शोधकर्ताओं ने VPN पोस्ट-एक्सप्लॉयटेशन के खतरों पर गहराई से अध्ययन किया है, जो अक्सर अनदेखी की जाती हैं। उन्होंने उन तकनीकों को उजागर किया है जिनका उपयोग आक्रमणकर्ता VPN सर्वर को समझौता करने के बाद अपने आक्रमण को बढ़ाने के लिए कर सकते हैं। इस अध्ययन में Ivanti Connect Secure और FortiGate VPNs में मौजूद खामियों और बिना समाधान वाली तकनीकों पर प्रकाश डाला गया है, जो आक्रमणकर्ताओं को अन्य महत्वपूर्ण नेटवर्क संपत्तियों पर नियंत्रण प्राप्त करने की अनुमति देती हैं।
VPN सर्वर का महत्व और जोखिम:
VPN सर्वर लंबे समय से आक्रमणकर्ताओं के लक्ष्य बने हुए हैं, मुख्यतः उनके इंटरनेट से सुलभ होने और उनकी बड़ी हमला सतह के कारण। ऐतिहासिक रूप से, ये सर्वर आंतरिक नेटवर्क में प्रवेश का एक गेटवे रहे हैं। लेकिन हाल ही में, शोधकर्ताओं ने यह पता लगाने की कोशिश की है कि VPN सर्वर के समझौते के बाद आक्रमणकर्ता और क्या-क्या लक्ष्य प्राप्त कर सकते हैं।
VPN पोस्ट-एक्सप्लॉयटेशन की तकनीकें:
शोधकर्ताओं ने VPN पोस्ट-एक्सप्लॉयटेशन के दो मुख्य दृष्टिकोणों की पहचान की है:
- डिवाइस के ऑपरेटिंग सिस्टम पर हमला करना: इसमें VPN सर्वर के ऑपरेटिंग सिस्टम की कमजोरियों का फायदा उठाकर अतिरिक्त नियंत्रण प्राप्त करने की कोशिश की जाती है।
- मौजूदा VPN प्रबंधन इंटरफेस का दुरुपयोग करना: इस विधि को “लिविंग ऑफ़ द VPN” कहा गया है, जिसमें आक्रमणकर्ता VPN प्रबंधन इंटरफेस का दुरुपयोग करते हैं। यह विधि अधिक किफायती और आसान है क्योंकि इसमें कस्टम इम्प्लांट की आवश्यकता नहीं होती है। प्रबंधन इंटरफेस तक पहुंच प्राप्त करने के लिए आक्रमणकर्ता प्रमाणीकरण बाइपास कमजोरियों, कमजोर क्रेडेंशियल्स, या फिशिंग का उपयोग कर सकते हैं।
रिमोट ऑथेंटिकेशन सर्वर का दुरुपयोग:
VPN सर्वर एक महत्वपूर्ण संपत्ति को संभालते हैं: बाहरी क्रेडेंशियल्स। शोधकर्ताओं ने LDAP और RADIUS ऑथेंटिकेशन सर्वरों के उपयोग में इन क्रेडेंशियल्स को समझौता करने की तकनीकों की खोज की है:
- LDAP ऑथेंटिकेशन: FortiGate और Ivanti दोनों में सरल LDAP ऑथेंटिकेशन के दौरान क्रेडेंशियल्स स्पष्ट पाठ में भेजे जाते हैं। जब सुरक्षित प्रोटोकॉल जैसे LDAPS और TLS का उपयोग किया जाता है, आक्रमणकर्ता VPN को इन प्रोटोकॉल्स को डाउनग्रेड करके क्रेडेंशियल्स को पकड़ सकते हैं।
- RADIUS ऑथेंटिकेशन: आक्रमणकर्ता एक धोखाधड़ी ऑथेंटिकेशन सर्वर को पंजीकृत करके उपयोगकर्ता क्रेडेंशियल्स को कैप्चर कर सकते हैं। यह विधि एक धोखाधड़ी सर्वर को उपयोगकर्ता समूह या क्षेत्र में जोड़कर की जाती है, जिससे VPN आक्रमणकर्ता-नियंत्रित सर्वर के माध्यम से ऑथेंटिकेशन का प्रयास करेगा।
Ivanti and FortiGate VPN धोखाधड़ी ऑथेंटिकेशन सर्वर का उपयोग:
FortiGate और Ivanti VPNs में एक सुरक्षा खामी पाई गई है, जिसे आक्रमणकर्ता उपयोगकर्ता क्रेडेंशियल्स को समझौते के लिए दुरुपयोग कर सकते हैं। इस खामी में ऑथेंटिकेशन प्रक्रिया को छेड़छाड़ करके धोखाधड़ी ऑथेंटिकेशन सर्वर को पंजीकृत करने का प्रयास किया जाता है:
- FortiGate VPN: उपयोगकर्ताओं को विशिष्ट अनुमतियों के साथ समूहित किया जा सकता है, जिसमें LDAP जैसे बाहरी सर्वरों से दूरस्थ समूह शामिल होते हैं। हालांकि, जब एक मिश्रित समूह (स्थानीय और दूरस्थ) से उपयोगकर्ता प्रमाणित होता है, FortiGate सभी कॉन्फ़िगर किए गए सर्वरों के खिलाफ उनके क्रेडेंशियल्स को मान्य करने का प्रयास करता है, किसी भी सर्वर द्वारा अनुमोदित होने पर एक्सेस प्रदान करता है।
- Ivanti VPN: Ivanti एकल सर्वर तक ऑथेंटिकेशन क्षेत्रों को सीमित करता है, लेकिन जब एक अतिरिक्त सर्वर कॉन्फ़िगर किया जाता है, Ivanti दोनों के खिलाफ क्रेडेंशियल्स की मान्यता करता है, केवल तभी सफल होता है जब दोनों सर्वर अनुमोदित होते हैं। यह खामी आक्रमणकर्ताओं द्वारा सुरक्षा उल्लंघन के लिए दुरुपयोग की जा सकती है।
कॉन्फ़िगरेशन फ़ाइल के रहस्यों को निकालना:
शोध ने यह भी उजागर किया कि VPN कॉन्फ़िगरेशन फ़ाइलों में संवेदनशील जानकारी जैसे स्थानीय उपयोगकर्ता पासवर्ड, SSH कुंजी, और तृतीय-पक्ष सेवा खाता क्रेडेंशियल्स शामिल होते हैं। ये रहस्यों को एन्क्रिप्ट किया गया है, लेकिन ज्ञात कुंजियों का उपयोग करके डिक्रिप्ट किया जा सकता है। FortiGate एक डिफ़ॉल्ट हार्ड-कोडेड कुंजी का उपयोग करता है, जिसका आक्रमणकर्ता दुरुपयोग कर सकते हैं।
रोकथाम के उपाय:
VPN सर्वर के उपयोग के दौरान जोखिमों को कम करने के लिए निम्नलिखित चार महत्वपूर्ण सिद्धांतों का पालन करें:
- ज़ीरो ट्रस्ट नेटवर्क एक्सेस (ZTNA) का उपयोग करें: पारंपरिक VPNs व्यापक नेटवर्क एक्सेस प्रदान करते हैं, जो समझौते की स्थिति में जोखिम भरा हो सकता है। ZTNA पहचान और संदर्भ के आधार पर एक्सेस को सीमित करता है, उपयोगकर्ताओं को केवल आवश्यक एक्सेस प्रदान करता है और संभावित उल्लंघनों के प्रभाव को कम करता है।
- सर्विस अकाउंट की अनुमति को सीमित करें: VPNs सर्विस अकाउंट पासवर्ड को स्पष्ट पाठ में उजागर कर सकते हैं, इसलिए इन खातों को न्यूनतम अनुमतियों तक सीमित करें, आदर्श रूप से केवल पढ़ने के लिए। यह VPN समझौते के परिणामस्वरूप होने वाले नुकसान को कम करता है।
- VPN ऑथेंटिकेशन के लिए समर्पित पहचान का उपयोग करें: VPN एक्सेस के लिए मौजूदा ऑथेंटिकेशन सेवाओं जैसे AD का उपयोग करने से बचें, क्योंकि समझौता किए गए क्रेडेंशियल्स व्यापक नेटवर्क उल्लंघनों का कारण बन सकते हैं। इसके बजाय, समर्पित ऑथेंटिकेशन विधियों जैसे प्रमाणपत्र आधारित ऑथेंटिकेशन का उपयोग करें।
- कॉन्फ़िगरेशन परिवर्तनों की निगरानी करें: VPN डिवाइस कॉन्फ़िगरेशन में नियमित रूप से परिवर्तनों की जांच करें और इन्हें एक मानक “गोल्डन इमेज” से तुलना करें। इन परिवर्तनों की निगरानी और लॉग विश्लेषण से अनधिकृत संशोधनों का पता लगाने और उन्हें रोकने में मदद मिल सकती है।
