VPN成黑客攻擊突破口，更多設(shè)備面臨著漏洞攻擊風(fēng)險

（文章來源：首席安全官）

近日，國內(nèi)安全公司發(fā)布報告稱，國家級APT組織DarkHotel，利用深信服VPN軟件的零日安全漏洞，入侵多家中國政府相關(guān)單位及駐外機構(gòu)。據(jù)透露，超過 200多臺VPN服務(wù)器被攻擊組織入侵。

4月7日中午，深信服（300454,SZ）發(fā)布公告確認(rèn)了這一消息，稱經(jīng)其分析發(fā)現(xiàn)，該事件的始作俑者為某黑客組織。在獲悉漏洞信息后，該公司已按照應(yīng)急響應(yīng)流程第一時間成立應(yīng)急事件處理小組，對該事件進行徹底排查。自從冠狀病毒（COVID-19）爆發(fā)以來，由于遠程辦公的必要需求，企業(yè)VPN使用量增加了33％，利用VPN漏洞發(fā)動攻擊，成為黑客入侵政企機構(gòu)、布局全球網(wǎng)絡(luò)態(tài)勢的流行手段。

VPN（即虛擬專用網(wǎng)絡(luò)，Virtual Private Network）：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠程訪問。VPN在企業(yè)、政府機構(gòu)遠程辦公中起著舉足輕重的地位。這意味著，一旦VPN漏洞被黑客利用攻擊，將面臨巨大威脅。

2020年2月，以色列網(wǎng)絡(luò)安全公司ClearSky發(fā)布報告，重磅爆出伊朗“Fox Kitten”的網(wǎng)絡(luò)間諜計劃——利用未修補的VPN漏洞作為切入點，向全球政府和企業(yè)植入后門，引發(fā)安全界廣泛熱議。

根據(jù)該報告，伊朗攻擊組織利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企業(yè)VPN產(chǎn)品漏洞，入侵大型公司并在其中植入后門。2019年伊朗黑客組織快速武器化如下多個 VPN 漏洞：Pulse Secure“Connect” VPN (CVE-2019-11510) 、ForTInet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

在新冠疫情全球范圍爆發(fā)，高度密切關(guān)注利用VPN漏洞發(fā)動的網(wǎng)絡(luò)攻擊顯得尤為重要。早在2019年，大量 VPN 服務(wù)器就被曝出重大漏洞，加劇了VPN網(wǎng)絡(luò)安全態(tài)勢的風(fēng)險。

其中，2019年4月，卡內(nèi)基梅隆大學(xué)CERT/CC稱，至少四款企業(yè)VPN應(yīng)用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN應(yīng)用。這四款應(yīng)用被證實以非加密形式將認(rèn)證和/或會話cookie存儲在計算機內(nèi)存或日志文件中。

2019年7月，Palo Alto GlobalProtect SSL VPN高危漏洞被公開，在/sslmgr位置存在格式化字符串漏洞，攻擊者可利用漏洞實現(xiàn)遠程代碼執(zhí)行。受影響版本包括：PaloAlto GlobalProtect SSL VPN 7.1.x