未修补的VPN缺陷可帮助黑客攻击企业,警告NSA和NCSC
国家安全局(NSA)和国家网络安全中心(NCSC)的调查显示,特定的VPN(虚拟专用网)服务可能受到称为APT ( 高级持续威胁 )的网络犯罪组织的攻击。但是,不同的黑客团队也可能对攻击易受攻击的VPN感兴趣。结果,许多使用此类服务的国际公司可能会面临危险,这就是网络安全专家建议立即采取行动的原因。在此博客文章中,我们讨论了针对哪些应用程序以及什么使VPN易受攻击。另外,如果继续阅读,您可以找到公司使用易受攻击的VPN服务之一时应采取的措施。如果您对所讨论的VPN漏洞有任何疑问,我们可以在页面末尾提供我们的评论部分。
Table of Contents
是什么使VPN容易受到攻击,哪些服务可能受到攻击?
Pulse Secure , Fortinet和Palo Alto是提供VPN服务的公司,这些服务是APT黑客的目标。此外,还注意到网络犯罪分子追捕从事以下行业的公司:政府,军事,教育,商业和医疗保健。他们的目标很可能是获得对组织系统的访问权限,例如,获取敏感信息或丢弃恶意软件。
据NCSC称 ,黑客已经意识到所列工具所具有的特定VPN缺陷。 Pulse Secure提供的VPN工具有两个弱点,称为CVE02019-11510和CVE-2019-11539 ,这可能允许远程攻击者通过管理界面读取任意文件或执行命令。 Fortinet的VPN产品具有三个漏洞,称为CVE-2018-13379 , CVE-2018-13382和CVE-2018-13383 。如您所见,列出的漏洞并不是新漏洞,因为它们早在2018年就被发现。但是,仍然可能有一些用户尚未对其进行修补。
关于Fortinet的VPN缺陷,您应该了解的另一件事是,它们可能使攻击者能够读取任意文件,更改SSL VPN Web门户用户的密码,并使Shell在路由器上运行。对于使用Palo Alto服务的用户,他们可能很高兴得知此VPN仅具有一个可供ATP黑客利用的缺陷。它称为CVE-2019-1579 ,它可能允许攻击者执行任意代码。利用任意代码执行可能使攻击者获得与目标应用程序或系统的用户相同的特权。例如,如果黑客利用VPN软件中的此类漏洞,则他们可能能够更改其设置,查看日志或执行用户可以做的其他任何事情。
如何摆脱VPN漏洞?
VPN缺陷可以与其他任何软件缺陷一样解决。通常,一旦漏洞被负责该公司的公司知道,组织就会寻找一种修复方法。找到解决方案后,将出现产品用户可以下载的补丁程序或更新。尽管某些工具会向用户通知可以应用的弱点和补丁,但有时用户必须自己(例如,在访问公司网站时)自行找到它们。
在Pulse Secure,Fortinet和Palo Alto产品中发现的所有六个VPN漏洞都是在一段时间前修复的。无论您已收到有关必要补丁程序的通知,还是选择跳过安装它们,或者您尚未听说这些补丁程序,我们强烈建议您尽快应用它们。当然,将来,如果您希望设备和系统安全,则应始终立即安装更新。
如何确定您的VPN漏洞是否已被利用?
如果您的VPN应用程序很长时间没有打补丁,网络安全专家建议您采取额外的预防措施。这意味着您不仅应该应用可修复VPN缺陷的补丁程序,还应调查与VPN相关的活动以搜索违规证据。在下面,您可以看到NCSC提示,以了解如何查找受到破坏的VPN的证据。
脉冲连接
建议使用该公司VPN服务的组织搜索与可疑URL的连接。为此,专家建议直接向Web界面而不是通过VPN发出HTTPS请求。如果此类活动出现在事件日志中,建议检查搜索日志以查找包含问号并以/ dana / html5acc / guacamole结尾的URL地址。另外,专家建议搜索对/dana-admin/diag/diag.cgi的请求。如果找到了此类数据,并且其日期早于安装了CVE02019-11510和CVE-2019-11539漏洞的修补程序,则可能会损害系统。
抵制
似乎可能利用CVE-2018-13379漏洞的黑客可以下载名为sslvpn_websession的文件。网络安全专家说,它应该包含所有活动用户的密码和用户名,文件大小应为200 KB左右。检查黑客是否可能利用了公司的VPN漏洞的另一种方法是调查防火墙日志或Netflow日志(如果配置了程序来记录它们)。更准确地说,专家建议您寻找从SSL VPN Web接口端口到客户端的200.00-250.000字节的TCP会话,这可以提供利用证据。
帕洛阿尔托
建议可能使用该公司未打补丁的VPN工具的组织在软件日志中查找崩溃。显然,利用此VPN的失败尝试可以在其日志中看到,这是唯一有助于确定系统是否受到威胁的东西。
如果发现VPN漏洞已被利用怎么办?
网络安全专家建议撤销有风险的登录凭据并重置身份验证凭据。接下来,建议受害者检查违规应用程序的配置选项,并搜索未经授权的更改,如果发现,应将其还原。作为额外的预防措施,公司可以启用双向身份验证,并禁用VPN上不需要或不需要的任何端口或功能。当然,继续监视网络流量和VNP日志中的可疑活动以防止进一步的攻击也很明智。作为最后的手段,网络安全专家建议,如果一家公司怀疑有违规行为,但要清除遭到入侵的设备,但找不到黑客入侵的证据,并且不愿冒险。
总体而言,使用VPN仍可帮助企业保护其系统免受网络犯罪分子的侵害。但是,至关重要的是要确保没有VPN缺陷,因为这会使VPN容易受到攻击。因此,网络安全专家建议定期检查新补丁和更新。越早安装它们,黑客利用未修补漏洞的机会就越少。确保公司使用的VPN服务始终保持最新状态的最简单方法是雇用IT团队,以确保及时对VPN和其他软件进行修补和更新。要了解有关企业VPN缺陷的更多信息,建议在此处阅读。
