美國政府網路安全部門除了提醒各組織儘快修補Pulse Secure VPN上的CVE-2019-11510漏洞外,也釋出自家開發的工具(https://github.com/cisagov/check-your-pulse),以協助網管人員查詢內網是否遭到開採。

國土安全部旗下的網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)在上周警告,它們接獲許多政府機關及企業的報告,顯示已有許多駭客開採了位於Pulse Secure VPN設備上的CVE-2019-11510漏洞,除了呼籲未修補的使用者應儘速處理,也提醒已完成修補的組織,最好檢查駭客是否曾在修補前,就攻陷該漏洞並取得憑證。

去年4月被揭露的CVE-2019-11510,是個任意檔案讀取漏洞,駭客只要傳送一個特製的URI(uniform resource identifier),就能自遠端存取VPN伺服器上的任何檔案,包括所有用戶的明文憑證,也可能在每個VPN客戶端執行任意命令。

去年10月美國國家安全局就曾警告,已有駭客針對該漏洞展開攻擊,英國國家網路安全中心,也幾乎是同時發布了警告訊息,今年1月則有駭客透過這項漏洞,來安裝REvil勒索軟體。

除了駭客對CVE-2019-11510的興趣不減之外,CISA也觀察到駭客的許多攻擊手法。例如當駭客取得了使用者的憑證之後,即可藉由Pulse Secure VPN裝置來入侵企業網路,但他們是利用Tor架構或虛擬私有伺服器來存取,以避免被察覺,目的是為了在企業網路上植入長駐後門、蒐集文件,或是執行勒索軟體等。

此外,CISA還發現,在組織修補該漏洞的數個月之後,駭客還在使用那些遭竊的憑證。

CISA除了督促各大組織儘快修補該漏洞之外,也釋出了自家開發的工具,以協助網路管理員查詢內部網路,是否有任何可能遭到開採的指標,同時建議就算已經修補了,也應該變更所有使用者的憑證。


Advertisement

更多 iThome相關內容