VPN遭受⿊客攻击远不⽌深信服!全球⼤量⿊客将VPN作为攻击⼊⼝
E安全4⽉8⽇讯,⾃从冠状病毒(COVID-19)爆发以来,由于远程办公的必要需求,企业VPN使⽤量增加了33%,这也成为⿊客发起攻击的⼀个突破⼝。据相关媒体报道,与韩国有联系的威胁组织利⽤零⽇漏洞攻击了某中国政府机构,该漏洞影响了境内VPN服务。数据显⽰,从3⽉开始,DarkHotel组织就已经锁定了许多中国机构。
据悉,攻击者利⽤深信服VPN服务中⼀个安全漏洞来传播后门恶意软件。对此,深信服表⽰,⿊客利⽤VPN客户端更新过程中的漏洞,⽤后门取代了合法的更新,⿊客⼤约攻击了200个VPN服务器并注⼊恶意软件。这些攻击主要针对的是中国的组织以及⼀些其他国家在中国设⽴的机构。事件发⽣后,深信服科技⽴刻发布了⼀则《关于⾮法组织利⽤深信服SSL VPN设备下发恶意⽂件并发起APT攻击活动的说明》,说明了APT组织通过深信服VPN设备漏洞拿到权限后,进⼀步利⽤SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植⼊后门的APT攻击活动过程。
其实,在过去的2019年是许多企业VPN服务器,例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服务器,被披露有严重安全漏洞的⼀年。
早在去年九⽉份,英国国家⽹络安全中⼼(NCSC)就发表报告称,他们正在研究有⾼级持久威胁(APT)参与者利⽤已知漏洞⼊侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专⽤⽹VPN
产品。当时该活动也被认为是由某国政府主导的,攻击是针对英国和国际组织发起的,受影响的部门包括政府,军事,学术,商业和医疗保健。事件发⽣后,这些VPN漏洞已在开放源代码中得到了充分记录,通过⾏业数据表明,数百名英国主机可能会受到攻击。据悉,当时攻击影响了:
• Pulse Connect Secure VPN两个漏洞是CVE-2019-11510和CVE-2019-11539;
• Fortinet的Fortigate设备中的三个漏洞CVE-2018-13379,CVE-2018-13382和CVE-2018-13383;
• Palo Alto的GlobalProtect门户和GlobalProtect⽹关接⼝产品CVE-2019-1579中的严重远程执⾏代码错误。
• Citrix“ ADC” VPN中披露的漏洞CVE-2019-19781
也是在去年九⽉份,SafeBreach Labs的研究⼈员在Forcepoint VPN客户端中发现了⼀处特权升级漏洞。受影响的产品为Forcepoint VPN Client for Windows软件的6.6.0及更低版。该漏洞不仅可⽤于提升攻击者的特权,还将允许攻击者长期访问受感染系统。据了解,该VPN程序的可执⾏程序的路径和命令⾏中的参数之间缺少引号字符串当⿊客在C:
\和C:\Program Files(x86)\Forcepoint \ 中植⼊恶意程序时,该VPN程序将⾃动执⾏恶意程序,并将⿊客权限提升⾄系统级。
2019年的四⽉份,美国政府⽹络安全和基础架构安全局(CISA)发出警报,由四个供应商Cisco, F5 Networks, Palo Alto Networks和Pulse Secure 构建的VPN应⽤存在严重漏洞。通过该漏洞,攻击者可以通过访问⾝份验证或会话令牌,重播数据信息以欺骗⽤户的VPN会话,并以⽤户⾝份获得VPN访问权限对系统进⾏⼊侵。
同时,随着世界各地实⾏国家隔离,⼤多数⽤户被困在家⾥,越来越多的⽤户在家中浏览Internet时也会使⽤VPN应⽤程序绕过地理保护。这也就造成消费者级VPN的使⽤量也出现了快速激增,在这样的环境下⿊客会花费更多的时间来研究对VPN的攻击。
对于预防⿊客的VPN攻击,Ramakrishna与Gartner的技术研究⼈员⼀起建议政府和企业组织应该考虑向VPN 添加软件定义的外围安全系统(SDP),以便系统可以扩展其整体安全体系结构,以实现公司内部⽹络可以直接到应⽤程序的访问,以降低受到⿊客攻击的可能性。
E观点cve漏洞库
随着越来越多公司和个⼈对VPN使⽤需求的快速增加,⽤户在使⽤VPN时如何保护⾃⾝⽹络安全成为了时下⾼度关注的问题之⼀。来⾃于安恒信息的应急响应专家Vexs Xu建议,对于VPN的安全使⽤,⾸先⾏业对VPN的管控要规范,遵循安全合规和最佳实践,⽐如VPN⽤户账号的分配,密码的强度等都要符合⽐较⾼的安全策略,限制这类⾼权限账号的随意创建,如果管理端⼝要向互联⽹开发,要严格限制对其访问的IP地址。与此同时,对VPN设备本⾝,⽤户要注意⼚商发布的安全更新补丁,如果有提⽰安全补丁更新,先备份好设备数据然后安装安全更新补丁,建议定期巡检设备,主动发现是否有安全更新补丁需要安装。其次,对VPN设备进⾏操作审计,⽐如开启设备⽇志记录,并定期分析⽇志中是否有异常访问或操作记录,特别是对⾼权限的管理员⽤户的操作记录,如发现有异常要展开排查确保风险的解除。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。