英国国家网络安全中心(National CyberSecurity Centre,NCSC)警告Pulse Secure、Palo Alto和Fortinet的VPN用户,这些VPN存在可被黑客用作APT(Advanced Persistent Threat)攻击的漏洞,攻击行动范围波及英国以及国际组织,影响的部门包括政府、军事、学术、商业以及医疗保健。
这些SSL VPN产品存在可以让攻击者任意检索文件的漏洞,用户存在身份验证凭证泄漏的疑虑,NCSC提到,攻击者可以便用这些窃取的凭证连接至VPN,并且更改VPN配置或是连接组织内部基础设施,而且未经授权的VPN连接,也提供了攻击者访问根壳层需要的执行特权。
Pulse Secure的VPN产品Pulse Connect Secure被NCSC找出了两个漏洞,分别是CVE-2019-11510预验证任意文件读取的漏洞,以及CVE-2019-11539验证后命令注入漏洞,而Fortinet则有三个漏洞被用于APT攻击,CVE-2018-13379预验证任意文件读取漏洞,还有CVE-2018-13382漏洞允许未经身份验证的攻击者变更SSL VPN入口网页的用户密码,CVE-2018-13383漏洞则可以让攻击者访问路由器上执行的壳层。另外,Palo Alto的CVE-2019-1579漏洞,则是可以让未经身份验证的攻击者,在GlobalProtect Gateway Interface以及GlobalProtect Portal上,远程执行任意程序代码。
NCSC建议怀疑遭到入侵的组织,应该撤销被盗走的凭证数据,最直接的方式就是重置修补系统漏洞之前的凭证,防止攻击者利用这些凭证进行未经授权的访问,对于确定遭到APT攻击者锁定的组织,都应该重新检查VPN的配置,包括SSH authorized_keys文件、新的iptables规则,以及连接客户端上执行的命令,组织可以直接以配置备份还原这些设置。
组织也应该监控以及分析日志,以找出可疑的IP地址连接,尤其是成功连接或是访问大量数据的IP。当组织怀疑遭到入侵,却找不到任何具体证据,则应该恢恢复厂设置,NCSC提醒,用户应该为VPN服务激活双重验证,以避免受到密码重送攻击,而且也应该禁用不需要或未使用的功能,以减少VPN被攻击面。