今年7月中旬,台湾安全企业戴夫寇尔(DEVCORE)研究人员披露的SSL VPN漏洞,在8月初举行的黑帽大会上,该公司Orange Tsai与Meh Chang也展示了他们的这项研究。值得注意的是,8月底在网络上传出瞄准该漏洞的攻击活动,安全企业因此提醒这些SSL VPN用户,尽快修补更新。
在这个漏洞研究其中,戴夫寇尔在Palo Alto Networks、Fortinet与Pulse Secure等企业提供的SSL VPN服务中,找出了可以被攻破的漏洞,同时通报了这些企业。其中,Fortinet与Pulse Secure这两家公司,在4月及5月分别提供修补程序,并发布安全公告。而他们也额外发现Palo Alto Networks在SSL VPN产品上的漏洞,虽然在他们通报隔天对方就悄悄修补,没有提醒企业用户即时修补。不过,在该漏洞披露后,Palo Alto Networks也已申请CVE并发出公告要用户更新。
但是,还是有不少企业本身仍然没有重视要修补此漏洞,而持续曝险。
最近,安全企业Bad Packets在8月底警告,他们在网络上部署的蜜罐诱捕系统(Honeypots),侦测到大规模的扫描活动,来源是西班牙的一台主机,目标则是受CVE-2019-11510漏洞影响的Pulse Secure的企业SSL VPN服务端点。
该公司发现这样的扫描行动后,也着手进行调查。Bad Packets表示,他们通过BinaryEdge提供的数据,扫描了41,850个Pulse Secure VPN端点,发现其中有14,528个将受到CVE-2019-11510的影响,成为易受攻击的目标。他们并解释,扫描过程只是发送了HEAD HTTP请求,主要用以确认可能存在任意文件读取漏洞。
在Bad Packet的统计中,这些被发现会受漏洞影响的Pulse Secure VPN端点,遍及全球121个国家,其中以美国的5,010台最多,日本也有1,511台居次,英国830台排第三,而台湾也有217台。
对于易受CVE-2019-11510影响的14,528个Pulse Secure VPN端点,Bad Packets不只发出警告,同时也制作了方便审查的影响国家区域图表,其中以美国的5,010个最多,而台湾也发现有217个。(图片来源:Bad Packets)
近日,台湾戴夫寇尔也发出提醒,指出近期出现攻击者利用他们的SSL VPN研究成果,对全世界VPN设备进行大规模扫描。
更要注意的是,由于现在已有其他国家研究者公布Exploit(攻击程序),而从国外的信息也得知已经发动攻击,因此,戴夫寇尔也再次提醒企业用户,如使用Pulse Secure、FortiGate、Palo Alto GlobalProtect,应尽快更新到已修补的最新版,以免遭受攻击。
无论如何,企业必须要知道,SSL VPN不仅是企业最主流的远程访问连接方式,也保护了企业资产免受于外部的攻击,但是,如果企业所信任并保护安全的设备变得不安全,也等于变成黑客进入企业内网最短的路径,修补必须尽早。
披露这次SSL VPN漏洞的台湾安全企业戴夫寇尔(DEVCORE),近日也发出警示,提醒Pulse Secure、FortiGate、Palo Alto GlobalProtect的用户应尽快更新,因为国际上已有发动攻击的情况。事实上,他们在9月3日也才公开Pulse Secure上的VPN研究细节,先前仅是通过披露部分信息,让用户尽早更新。现在,随着新的细节公开,SSL VPN企业用户更是要赶紧更新修补。