點擊「藍字」
關注我們
近日,國內安全公司發布報告稱,國家級APT組織DarkHotel,利用深信服VPN軟體的零日安全漏洞,入侵多家中國政府相關單位及駐外機構。據透露,超過 200多臺VPN伺服器被攻擊組織入侵。
4月7日中午,深信服(300454,SZ)發布公告確認了這一消息,稱經其分析發現,該事件的始作俑者為某黑客組織。在獲悉漏洞信息後,該公司已按照應急響應流程第一時間成立應急事件處理小組,對該事件進行徹底排查。
VPN漏洞成為黑客新手段
自從冠狀病毒(COVID-19)爆發以來,由於遠程辦公的必要需求,企業VPN使用量增加了33%,利用VPN漏洞發動攻擊,成為黑客入侵政企機構、布局全球網絡態勢的流行手段。
VPN(即虛擬專用網絡,Virtual Private Network):在公用網絡上建立專用網絡,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN在企業、政府機構遠程辦公中起著舉足輕重的地位。這意味著,一旦VPN漏洞被黑客利用攻擊,將面臨巨大威脅。
2020年2月,以色列網絡安全公司ClearSky發布報告,重磅爆出伊朗「Fox Kitten」的網絡間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業植入後門,引發安全界廣泛熱議。
根據該報告,伊朗攻擊組織利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企業VPN產品漏洞,入侵大型公司並在其中植入後門。
2019年伊朗黑客組織快速武器化如下多個 VPN 漏洞:Pulse Secure「Connect」 VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks「Global Protect」 VPN 漏洞 (CVE-2019-1579)。
在新冠疫情全球範圍爆發,高度密切關注利用VPN漏洞發動的網絡攻擊顯得尤為重要。
大量 VPN 存在漏洞利用風險
早在2019年,大量 VPN 伺服器就被曝出重大漏洞,加劇了VPN網絡安全態勢的風險。
其中,2019年4月,卡內基梅隆大學CERT/CC稱,至少四款企業VPN應用中存在安全缺陷,包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN應用。這四款應用被證實以非加密形式將認證和/或會話cookie存儲在計算機內存或日誌文件中。
2019年7月,Palo Alto GlobalProtect SSL VPN高危漏洞被公開,在/sslmgr位置存在格式化字符串漏洞,攻擊者可利用漏洞實現遠程代碼執行。受影響版本包括:PaloAlto GlobalProtect SSL VPN 7.1.x<7.1.19、8.0.x<8.0.12、8.1.x<8.1.3。
2019年8月,安全研究人員公布針對Fortigate SSL VPN(飛塔VPN)的漏洞說明,其中一個任意文件讀取漏洞利用門檻較低,預計會對全球Fortigate SSL VPN造成較大影響。主要影響使用了Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本的SSL VPN。
2019年8月,安全研究員公布Pulse Secure SSL VPN 多個漏洞。攻擊這些漏洞,可以讀取任意文件包括明文密碼、帳號信息和Session信息,以及進入後臺後執行系統命令。Pulse Secure官方已發布修復版本。
英國國家網絡安全中心(NCSC)稱,研究發現有高級持久威脅(APT)參與者利用已知漏洞入侵供應商Pulse Secure、Fortinet、Palo Alto和Citrix的虛擬專用網VPN產品。受影響的部門包括政府,軍事,學術,商業和醫療保健。
FBI 在本年初評估了 2019 年末以來發生的 VPN 伺服器漏洞攻擊,發現波及廣泛,已影響到美國和其他國家的許多部門。
漏洞緩解措施和安全建議
FBI 建議仔細閱讀國家安全局 (NSA) 的 VPN 漏洞緩解建議,採取以下措施來防禦潛在攻擊:
警惕並立即安裝供應商發布的補丁程序,尤其是面向 Web 的設備; 阻止或監視上述惡意IP位址以及其他在特殊時間段進行遠程登錄的 IP 地址; 在將升級後的設備重新連接到外部網絡之前,請重置憑據。 撤消並創建新的 VPN 伺服器密鑰和證書; 使用多因素身份驗證作為密碼的補充安全性措施; 查看帳戶列表,以確保對手沒有創建新帳戶; 在適當的地方實施網絡分段; 確保無法從 Internet 訪問管理 Web 界面。