未修補的VPN缺陷可幫助黑客攻擊企業,警告NSA和NCSC

國家安全局(NSA)和國家網絡安全中心(NCSC)的調查顯示,特定的VPN(虛擬專用網)服務可能受到稱為APT高級持續威脅 )的網絡犯罪組織的攻擊。但是,不同的黑客團隊也可能對攻擊易受攻擊的VPN感興趣。結果,許多使用此類服務的國際公司可能會面臨危險,這就是網絡安全專家建議立即採取行動的原因。在此博客文章中,我們討論了針對哪些應用程序以及什麼使VPN易受攻擊。另外,如果繼續閱讀,您可以找到公司使用易受攻擊的VPN服務之一時應採取的措施。如果您對所討論的VPN漏洞有任何疑問,我們可以在頁面末尾提供我們的評論部分。

是什麼使VPN容易受到攻擊,哪些服務可能受到攻擊?

Pulse SecureFortinetPalo Alto是提供VPN服務的公司,這些服務是APT黑客的目標。此外,還注意到網絡犯罪分子追捕從事以下行業的公司:政府,軍事,教育,商業和醫療保健。他們的目標很可能是獲得對組織系統的訪問權限,例如,獲取敏感信息或丟棄惡意軟件。

NCSC稱 ,黑客已經意識到所列工具所具有的特定VPN缺陷。 Pulse Secure提供的VPN工具有兩個弱點,稱為CVE02019-11510CVE-2019-11539 ,這可能允許遠程攻擊者通過管理界面讀取任意文件或執行命令。 Fortinet的VPN產品具有三個漏洞,稱為CVE-2018-13379CVE-2018-13382CVE-2018-13383 。如您所見,列出的漏洞並不是新漏洞,因為它們早在2018年就被發現。但是,仍然可能有一些用戶尚未對其進行修補。

關於Fortinet的VPN缺陷,您應該了解的另一件事是,它們可能使攻擊者能夠讀取任意文件,更改SSL VPN Web門戶用戶的密碼,並使Shell在路由器上運行。對於使用Palo Alto服務的用戶,他們可能很高興得知此VPN僅具有一個可供ATP黑客利用的缺陷。它稱為CVE-2019-1579 ,它可能允許攻擊者執行任意代碼。利用任意代碼執行可能使攻擊者獲得與目標應用程序或系統的用戶相同的特權。例如,如果黑客利用VPN軟件中的此類漏洞,則他們可能能夠更改其設置,查看日誌或執行用戶可以做的其他任何事情。

如何擺脫VPN漏洞?

VPN缺陷可以與其他任何軟件缺陷一樣解決。通常,一旦負責該漏洞的公司知道了該漏洞,組織就會尋找一種修復方法。找到解決方案後,將出現產品用戶可以下載的補丁程序或更新。儘管某些工具會告知用戶可以應用的弱點和補丁,但有時用戶必須自己(例如,在訪問公司網站時)自行查找有關弱點和補丁的信息。

在Pulse Secure,Fortinet和Palo Alto產品中發現的所有六個VPN漏洞都是在一段時間前修復的。無論您已收到有關必要補丁程序的通知,還是選擇跳過安裝它們,或者您尚未聽說這些補丁程序,我們強烈建議您盡快應用它們。當然,將來,如果您希望設備和系統安全,則應始終立即安裝更新。

如何確定您的VPN漏洞是否已被利用?

如果您的VPN應用程序很長時間沒有打補丁,網絡安全專家建議您採取額外的預防措施。這意味著您不僅應該應用可修復VPN缺陷的補丁程序,還應調查與VPN相關的活動以搜索違規證據。在下面,您可以看到NCSC提示,以了解如何查找受到破壞的VPN的證據。

脈衝連接

建議使用該公司VPN服務的組織搜索與可疑URL的連接。為此,專家建議直接向Web界面而不是通過VPN發出HTTPS請求。如果此類活動出現在事件日誌中,建議檢查搜索日誌以查找包含問號並以/ dana / html5acc / guacamole結尾的URL地址。另外,專家建議搜索對/dana-admin/diag/diag.cgi的請求。如果找到了此類數據,並且其日期早於安裝了CVE02019-11510和CVE-2019-11539漏洞的修補程序,則可能會損害系統。

抵制

似乎可能利用CVE-2018-13379漏洞的黑客可以下載名為sslvpn_websession的文件。網絡安全專家說,它應該包含所有活動用戶的密碼和用戶名,文件大小應為200 KB左右。檢查黑客是否可能利用了公司的VPN漏洞的另一種方法是調查防火牆日誌或Netflow日誌(如果配置了程序來記錄它們)。更準確地說,專家建議您尋找從SSL VPN Web接口端口到客戶端的200.00-250.000字節的TCP會話,這可以提供利用證據。

帕洛阿爾托

建議可能使用該公司未打補丁的VPN工具的組織在軟件日誌中查找崩潰。顯然,利用此VPN的失敗嘗試可以在其日誌中看到,這是唯一有助於確定係統是否受到威脅的東西。

如果發現VPN漏洞已被利用怎麼辦?

網絡安全專家建議撤銷有風險的登錄憑據並重置身份驗證憑據。接下來,建議受害者檢查違規應用程序的配置選項,並蒐索未經授權的更改,如果發現,應將其還原。作為額外的預防措施,公司可以啟用雙向身份驗證,並禁用VPN上不需要或不需要的任何端口或功能。當然,繼續監視網絡流量和VNP日誌中的可疑活動以防止進一步的攻擊也很明智。作為最後的手段,網絡安全專家建議,如果一家公司懷疑有違規行為,但要清除遭到入侵的設備,但找不到黑客入侵的證據,並且不願冒險。

總體而言,使用VPN仍可幫助企業保護其係統免受網絡犯罪分子的侵害。但是,至關重要的是要確保沒有VPN缺陷,因為這會使VPN容易受到攻擊。因此,網絡安全專家建議定期檢查新補丁和更新。越早安裝它們,黑客利用未修補漏洞的機會就越少。確保公司使用的VPN服務始終保持最新狀態的最簡單方法是僱用IT團隊,以確保及時對VPN和其他軟件進行補丁和更新。要了解有關企業VPN缺陷的更多信息,建議在此處閱讀。

December 11, 2019
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。