近日,国内安全公司发布报告称,国家级APT组织DarkHotel,利用深信服VPN软件的零日安全漏洞,入侵多家中国政府相关单位及驻外机构。据透露,超过 200多台VPN服务器被攻击组织入侵。
4月7日中午,深信服(300454,SZ)发布公告确认了这一消息,称经其分析发现,该事件的始作俑者为某黑客组织。在获悉漏洞信息后,该公司已按照应急响应流程第一时间成立应急事件处理小组,对该事件进行彻底排查。
VPN漏洞成为黑客新手段
自从冠状病毒(COVID-19)爆发以来,由于远程办公的必要需求,企业VPN使用量增加了33%,利用VPN漏洞发动攻击,成为黑客入侵政企机构、布局全球网络态势的流行手段。
VPN(即虚拟专用网络,Virtual Private Network):在公用网络上建立专用网络,通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN在企业、政府机构远程办公中起着举足轻重的地位。这意味着,一旦VPN漏洞被黑客利用攻击,将面临巨大威胁。
2020年2月,以色列网络安全公司ClearSky发布报告,重磅爆出伊朗“Fox Kitten”的网络间谍计划——利用未修补的VPN漏洞作为切入点,向全球政府和企业植入后门,引发安全界广泛热议。
根据该报告,伊朗攻击组织利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企业VPN产品漏洞,入侵大型公司并在其中植入后门。
2019年伊朗黑客组织快速武器化如下多个 VPN 漏洞:Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。
在新冠疫情全球范围爆发,高度密切关注利用VPN漏洞发动的网络攻击显得尤为重要。
大量 VPN 存在漏洞利用风险
早在2019年,大量 VPN 服务器就被曝出重大漏洞,加剧了VPN网络安全态势的风险。
其中,2019年4月,卡内基梅隆大学CERT/CC称,至少四款企业VPN应用中存在安全缺陷,包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN应用。这四款应用被证实以非加密形式将认证和/或会话cookie存储在计算机内存或日志文件中。
2019年7月,Palo Alto GlobalProtect SSL VPN高危漏洞被公开,在/sslmgr位置存在格式化字符串漏洞,攻击者可利用漏洞实现远程代码执行。受影响版本包括:PaloAlto GlobalProtect SSL VPN 7.1.x<7.1.19、8.0.x<8.0.12、8.1.x<8.1.3。
2019年8月,安全研究人员公布针对Fortigate SSL VPN(飞塔VPN)的漏洞说明,其中一个任意文件读取漏洞利用门槛较低,预计会对全球Fortigate SSL VPN造成较大影响。主要影响使用了Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本的SSL VPN。
2019年8月,安全研究员公布Pulse Secure SSL VPN 多个漏洞。攻击这些漏洞,可以读取任意文件包括明文密码、账号信息和Session信息,以及进入后台后执行系统命令。Pulse Secure官方已发布修复版本。
英国国家网络安全中心(NCSC)称,研究发现有高级持久威胁(APT)参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。受影响的部门包括政府,军事,学术,商业和医疗保健。
FBI 在本年初评估了 2019 年末以来发生的 VPN 服务器漏洞攻击,发现波及广泛,已影响到美国和其他国家的许多部门。
漏洞缓解措施和安全建议
FBI 建议仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议,采取以下措施来防御潜在攻击:
警惕并立即安装供应商发布的补丁程序,尤其是面向 Web 的设备;
阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址;
在将升级后的设备重新连接到外部网络之前,请重置凭据。
撤消并创建新的 VPN 服务器密钥和证书;
使用多因素身份验证作为密码的补充安全性措施;
查看帐户列表,以确保对手没有创建新帐户;
在适当的地方实施网络分段;
确保无法从 Internet 访问管理 Web 界面。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
