Agências de cibersegurança de países aliados divulgaram recomendações para reforçar a segurança de dispositivos de borda de rede, visando mitigar ataques e melhorar a detecção de invasões.
Agências de cibersegurança dos Estados Unidos, Reino Unido, Austrália, Canadá e Nova Zelândia emitiram novas diretrizes para fabricantes de dispositivos de borda de rede, destacando a necessidade de melhorar a visibilidade forense para auxiliar na detecção de ataques e na investigação de violações.
Dispositivos como firewalls, roteadores, gateways de VPN, servidores voltados para a internet, sistemas de tecnologia operacional (OT) e dispositivos de Internet das Coisas (IoT) são frequentemente alvos de invasores, incluindo grupos patrocinados por estados e criminosos financeiros. Esses equipamentos são vulneráveis, pois geralmente não suportam soluções de Detecção e Resposta em Endpoint (EDR), permitindo que invasores obtenham acesso inicial às redes corporativas.
Além disso, muitas dessas tecnologias carecem de atualizações regulares de firmware, possuem autenticação fraca e vêm configuradas com padrões inseguros, dificultando a detecção de incidentes por equipes de segurança. Por estarem posicionados na borda da rede e lidarem com grande parte do tráfego corporativo, esses dispositivos se tornam alvos estratégicos para monitoramento de dados e coleta de credenciais, caso não sejam devidamente protegidos.
Exploração de vulnerabilidades e medidas recomendadas
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que “adversários estrangeiros exploram rotineiramente vulnerabilidades de software em dispositivos de borda de rede para infiltrar infraestruturas críticas e sistemas”, causando impactos financeiros, operacionais e reputacionais para organizações públicas e privadas.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) reforçou a importância de que fabricantes implementem recursos robustos de registro de atividades e forense digital como padrão, facilitando a identificação de atividades maliciosas e investigações após uma invasão.
As diretrizes recomendam que profissionais de segurança considerem requisitos mínimos de visibilidade forense ao selecionar dispositivos físicos e virtuais para suas organizações. Nos últimos anos, fabricantes como Fortinet, Palo Alto, Ivanti, SonicWall, TP-Link e Cisco tiveram seus dispositivos de borda constantemente visados por ataques cibernéticos.
Em resposta a essas ameaças, a CISA tem emitido alertas “Secure by Design”, como o de julho de 2024, que instava fabricantes a eliminarem vulnerabilidades de injeção de comandos no sistema operacional. Essas falhas foram exploradas pelo grupo Velvet Ant, ligado ao governo chinês, para comprometer dispositivos de rede da Cisco, Palo Alto e Ivanti.
A agência norte-americana também alertou fabricantes de roteadores para escritórios domésticos e pequenos negócios (SOHO) sobre a necessidade de proteger seus dispositivos contra ataques do grupo Volt Typhoon e instou empresas de tecnologia a deixarem de embarcar produtos com senhas padrão, que representam um risco significativo de segurança.
—
Texto adaptado de BleepingComputer e revisado pela nossa redação.
