英國國家網路安全中心(National Cyber Security Centre,NCSC)警告Pulse Secure、Palo Alto和Fortinet的VPN使用者,這些VPN存在可被駭客用作APT(Advanced Persistent Threat)攻擊的漏洞,攻擊行動範圍擴及英國以及國際組織,影響的部門包括政府、軍事、學術、商業以及醫療保健。

這些SSL VPN產品存在可以讓攻擊者任意檢索檔案的漏洞,使用者存在身分驗證憑證洩漏的疑慮,NCSC提到,攻擊者可以利用這些竊取的憑證連接至VPN,並且更改VPN配置或是連接組織內部基礎設施,而且未經授權的VPN連接,也提供了攻擊者存取根殼層需要的執行特權。

Pulse Secure的VPN產品Pulse Connect Secure存在兩個漏洞,分別是CVE-2019-11510預驗證任意檔案讀取的漏洞,以及CVE-2019-11539驗證後命令注入漏洞,而Fortinet則有三個漏洞被用於APT攻擊,CVE-2018-13379預驗證任意檔案讀取漏洞,還有CVE-2018-13382漏洞允許未經身分驗證的攻擊者變更SSL VPN入口網頁的使用者密碼,CVE-2018-13383漏洞則可以讓攻擊者存取路由器上執行的殼層。另外,Palo Alto的CVE-2019-1579漏洞,則是可以讓未經身分驗證的攻擊者,在GlobalProtect Gateway Interface以及GlobalProtect Portal上,遠端執行任意程式碼。

NCSC建議懷疑遭到入侵的組織,應該撤銷被盜走的憑證資料,最直接的方式就是重置修補系統漏洞之前的憑證,防止攻擊者利用這些憑證進行未經授權的存取,對於確定遭到APT攻擊者鎖定的組織,都應該重新檢查VPN的配置,包括SSH authorized_keys檔案、新的iptables規則,以及連接客戶端上執行的命令,組織可以直接以配置備份還原這些設定。

組織也應該監控以及分析日誌,以找出可疑的IP地址連接,尤其是成功連接或是存取大量資料的IP。當組織懷疑遭到入侵,卻找不到任何具體證據,則應該恢復原廠設定,NCSC提醒,使用者應該為VPN服務啟用雙因素驗證,以避免受到密碼重送攻擊,而且也應該禁用不需要或未使用的功能,以減少VPN被攻擊面。


Advertisement

更多 iThome相關內容