Il 13 marzo 2020 CISA ha pubblicato l’alert AA20-073A “Enterprise VPN Security”, che riconosce lo spostamento di massa verso il telelavoro come un fattore di rischio per l’infrastruttura. L’alert non introduce tecniche d’attacco nuove: ricorda che il concentratore VPN, quando diventa l’unico ingresso per l’intera forza lavoro, smette di essere un componente periferico e diventa il punto in cui si concentra il rischio.
Contesto e problema
Quasi tutte le organizzazioni dimensionavano l’accesso remoto per una frazione del personale: trasferte, reperibilità, qualche giorno di lavoro da casa. Il modello implicito era una rete aziendale fidata, con un perimetro netto e poche sessioni remote autenticate sul bordo. Spostare buona parte del personale fuori da quel perimetro, tutto insieme, rompe tre assunzioni in un colpo solo: la capacità del concentratore, la cadenza di patching dei dispositivi di bordo e la tenuta di un singolo fattore di autenticazione su una scala molto più ampia.
Il problema non è teorico. Per tutto il 2019 due vulnerabilità di SSL VPN sono state sfruttate attivamente: CVE-2019-11510 su Pulse Connect Secure (lettura arbitraria di file pre-autenticazione, che espone chiavi e credenziali in chiaro) e CVE-2018-13379 su FortiOS (path traversal che espone i file di sessione con username e password). A ottobre 2019 la NSA aveva diffuso un advisory dedicato alla mitigazione di queste vulnerabilità VPN; a gennaio 2020 CISA ha pubblicato AA20-010A, segnalando che CVE-2019-11510 veniva ancora sfruttata su sistemi rimasti senza patch mesi dopo il rilascio della correzione.
Architettura del rischio
Tre proprietà del concentratore VPN lo rendono difficile da gestire sotto un carico improvviso.
È esposto su Internet e quasi mai in finestra di manutenzione. Un gateway di accesso remoto è raggiungibile da chiunque, a ogni ora. Proprio perché serve sessioni attive senza interruzione, la finestra utile per applicare un aggiornamento è stretta o non esiste: spegnere il concentratore vuol dire lasciare a casa l’intera forza lavoro. È la dinamica che AA20-073A mette per prima: i dispositivi VPN restano indietro sulle patch proprio perché sono sempre in uso. Le vulnerabilità del 2019 ne sono la prova — il difetto era noto e correggibile, ma la patch non veniva applicata.
Concentra l’autenticazione. Con il personale da remoto, la coppia username/password resta l’unica barriera tra Internet e la rete interna per la maggior parte degli utenti. Le campagne di phishing rivolte ai lavoratori remoti — il secondo punto dell’alert — non devono superare un firewall: basta convincere una persona a digitare le proprie credenziali. CVE-2018-13379 peggiora le cose, perché un attaccante può leggere le credenziali direttamente dal gateway, senza nessun phishing.
Ha una capacità finita. Il numero di sessioni concorrenti è limitato da licenze, terminazione TLS e banda. AA20-073A lo cita come terzo rischio: oltre la soglia nessun altro dipendente riesce a collegarsi e le operazioni critiche si fermano. È un vincolo doppio, sulla continuità operativa e sulla sicurezza: la pressione a “far entrare tutti” spinge ad abbassare i controlli.
Punto critico
Il fattore decisivo è l’autenticazione a più fattori (MFA) sull’accesso remoto. NIST SP 800-63B, le linee guida sull’identità digitale del 2017, classifica gli autenticatori per livello di garanzia e tratta la sola password come il caso più debole. Sulla VPN l’MFA cambia la geometria dell’attacco: username e password rubati col phishing — o estratti da un gateway vulnerabile — non bastano più a stabilire una sessione. L’alert CISA raccomanda l’MFA su tutte le connessioni VPN e indica le password robuste solo come ripiego, dichiarandole esplicitamente inferiori.
Non tutti i secondi fattori si equivalgono. SP 800-63B segnala che gli OTP via SMS (descritti come autenticatori “out-of-band restricted”) sono esposti a intercettazione e SIM swapping, e che va previsto un percorso verso autenticatori più solidi — applicazioni OTP o chiavi crittografiche. Sotto carico, quel che pesa è che l’MFA va dimensionata insieme alla capacità: un secondo fattore che richiede provisioning manuale non si distribuisce a centinaia di persone in pochi giorni.
Implicazioni operative
Le raccomandazioni di AA20-073A si riducono a poche priorità verificabili.
- Patchare i dispositivi di bordo prima di scalare. Concentratore VPN, apparati di rete ed endpoint usati per l’accesso vanno portati all’ultima versione prima di alzare il carico, non dopo. Il riferimento concreto sono
CVE-2019-11510eCVE-2018-13379: difetti corretti da mesi e sfruttati su sistemi senza patch. - MFA come default, password robuste come ripiego dichiarato. L’ordine di priorità dell’alert è esplicito; la sola password va trattata come configurazione temporanea da chiudere, non come stato accettabile.
- Capacità e licenze come parametro di sicurezza. Sapere qual è il numero massimo di sessioni concorrenti, e cosa succede quando lo si supera, evita che la pressione operativa si trasformi in un incentivo ad allentare i controlli.
- Logging e risposta agli incidenti dimensionati sul nuovo volume. L’alert chiede di prepararsi a intensificare revisione dei log, rilevamento e risposta: con più sessioni remote le baseline di traffico cambiano e gli indicatori di compromissione vanno ricalibrati.
Sul piano del modello, NIST SP 800-46 Rev. 2 — e l’ITL Bulletin di marzo 2020 che ne riprende i contenuti — parte da un’assunzione precisa: dispositivi e reti remote vanno considerati non fidati. Le quattro famiglie di controllo che la guida indica per il telelavoro (riservatezza e integrità delle comunicazioni, autenticazione del telelavoratore e del dispositivo, isolamento del client dalle minacce della rete domestica, igiene del dispositivo stesso) non nascono nel 2020; il telelavoro di massa le rende solo impossibili da ignorare.
Come queste priorità si traducano in un modello di accesso remoto gestito — VPN dedicate verso le reti dei clienti, accessi tracciati e monitoraggio distribuito — è il tema dell’insight pubblicato da noze: https://www.noze.it/insights/lavoro-remoto-pandemia/.
Limiti
Queste note riguardano l’accesso remoto perimetrale, cioè il modello VPN-centrico che AA20-073A presuppone. Esistono architetture d’accesso che riducono la dipendenza dal singolo concentratore distribuendo l’enforcement vicino alle applicazioni; qui non le tratto, perché la realtà di marzo 2020, per la maggior parte delle organizzazioni, è il gateway già installato da scalare in fretta. L’MFA mitiga il furto di credenziali ma non i difetti pre-autenticazione come CVE-2019-11510: lì l’unica difesa è la patch. E nessuna di queste misure copre il dispositivo domestico non gestito, dove il confine tra macchina personale e accesso aziendale resta il punto più difficile da governare.
https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-073a https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-010a https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-46r2.pdf https://csrc.nist.gov/csrc/media/publications/shared/documents/itl-bulletin/itlbul2020-03.pdf https://pages.nist.gov/800-63-3/sp800-63b.html https://media.defense.gov/2019/Oct/07/2002191601/-1/-1/0/CSA-MITIGATING-RECENT-VPN-VULNERABILITIES.PDF https://nvd.nist.gov/vuln/detail/CVE-2019-11510 https://nvd.nist.gov/vuln/detail/CVE-2018-13379
Immagine di copertina: Appliance firewall/VPN Fortinet FortiGate rackmount nera con porte di rete sul pannello frontale — foto di Premeditated, CC BY-SA 4.0 — https://commons.wikimedia.org/wiki/File:Fortinet_FortiGate_6501F.png