VPN成黑客攻擊突破口,更多設(shè)備面臨著漏洞攻擊風(fēng)險
(文章來源:首席安全官)
近日,國內(nèi)安全公司發(fā)布報告稱,國家級APT組織DarkHotel,利用深信服VPN軟件的零日安全漏洞,入侵多家中國政府相關(guān)單位及駐外機構(gòu)。據(jù)透露,超過 200多臺VPN服務(wù)器被攻擊組織入侵。
4月7日中午,深信服(300454,SZ)發(fā)布公告確認(rèn)了這一消息,稱經(jīng)其分析發(fā)現(xiàn),該事件的始作俑者為某黑客組織。在獲悉漏洞信息后,該公司已按照應(yīng)急響應(yīng)流程第一時間成立應(yīng)急事件處理小組,對該事件進行徹底排查。自從冠狀病毒(COVID-19)爆發(fā)以來,由于遠(yuǎn)程辦公的必要需求,企業(yè)VPN使用量增加了33%,利用VPN漏洞發(fā)動攻擊,成為黑客入侵政企機構(gòu)、布局全球網(wǎng)絡(luò)態(tài)勢的流行手段。
VPN(即虛擬專用網(wǎng)絡(luò),Virtual Private Network):在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠(yuǎn)程訪問。VPN在企業(yè)、政府機構(gòu)遠(yuǎn)程辦公中起著舉足輕重的地位。這意味著,一旦VPN漏洞被黑客利用攻擊,將面臨巨大威脅。
2020年2月,以色列網(wǎng)絡(luò)安全公司ClearSky發(fā)布報告,重磅爆出伊朗“Fox Kitten”的網(wǎng)絡(luò)間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業(yè)植入后門,引發(fā)安全界廣泛熱議。
根據(jù)該報告,伊朗攻擊組織利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企業(yè)VPN產(chǎn)品漏洞,入侵大型公司并在其中植入后門。2019年伊朗黑客組織快速武器化如下多個 VPN 漏洞:Pulse Secure“Connect” VPN (CVE-2019-11510) 、ForTInet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。
在新冠疫情全球范圍爆發(fā),高度密切關(guān)注利用VPN漏洞發(fā)動的網(wǎng)絡(luò)攻擊顯得尤為重要。早在2019年,大量 VPN 服務(wù)器就被曝出重大漏洞,加劇了VPN網(wǎng)絡(luò)安全態(tài)勢的風(fēng)險。
其中,2019年4月,卡內(nèi)基梅隆大學(xué)CERT/CC稱,至少四款企業(yè)VPN應(yīng)用中存在安全缺陷,包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN應(yīng)用。這四款應(yīng)用被證實以非加密形式將認(rèn)證和/或會話cookie存儲在計算機內(nèi)存或日志文件中。
2019年7月,Palo Alto GlobalProtect SSL VPN高危漏洞被公開,在/sslmgr位置存在格式化字符串漏洞,攻擊者可利用漏洞實現(xiàn)遠(yuǎn)程代碼執(zhí)行。受影響版本包括:PaloAlto GlobalProtect SSL VPN 7.1.x