VPN成黑客攻击突破口，更多设备面临着漏洞攻击风险

（文章来源：首席安全官）

近日，国内安全公司发布报告称，国家级APT组织DarkHotel，利用深信服VPN软件的零日安全漏洞，入侵多家中国政府相关单位及驻外机构。据透露，超过 200多台VPN服务器被攻击组织入侵。

4月7日中午，深信服（300454,SZ）发布公告确认了这一消息，称经其分析发现，该事件的始作俑者为某黑客组织。在获悉漏洞信息后，该公司已按照应急响应流程第一时间成立应急事件处理小组，对该事件进行彻底排查。自从冠状病毒（COVID-19）爆发以来，由于远程办公的必要需求，企业VPN使用量增加了33％，利用VPN漏洞发动攻击，成为黑客入侵政企机构、布局全球网络态势的流行手段。

VPN（即虚拟专用网络，Virtual Private Network）：在公用网络上建立专用网络，通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN在企业、政府机构远程办公中起着举足轻重的地位。这意味着，一旦VPN漏洞被黑客利用攻击，将面临巨大威胁。

2020年2月，以色列网络安全公司ClearSky发布报告，重磅爆出伊朗“Fox Kitten”的网络间谍计划——利用未修补的VPN漏洞作为切入点，向全球政府和企业植入后门，引发安全界广泛热议。

根据该报告，伊朗攻击组织利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企业VPN产品漏洞，入侵大型公司并在其中植入后门。2019年伊朗黑客组织快速武器化如下多个 VPN 漏洞：Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

在新冠疫情全球范围爆发，高度密切关注利用VPN漏洞发动的网络攻击显得尤为重要。早在2019年，大量 VPN 服务器就被曝出重大漏洞，加剧了VPN网络安全态势的风险。

其中，2019年4月，卡内基梅隆大学CERT/CC称，至少四款企业VPN应用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN应用。这四款应用被证实以非加密形式将认证和/或会话cookie存储在计算机内存或日志文件中。

2019年7月，Palo Alto GlobalProtect SSL VPN高危漏洞被公开，在/sslmgr位置存在格式化字符串漏洞，攻击者可利用漏洞实现远程代码执行。受影响版本包括：PaloAlto GlobalProtect SSL VPN 7.1.x<7.1.19、8.0.x<8.0.12、8.1.x<8.1.3。

2019年8月，安全研究人员公布针对Fortigate SSL VPN（飞塔VPN）的漏洞说明，其中一个任意文件读取漏洞利用门槛较低，预计会对全球Fortigate SSL VPN造成较大影响。主要影响使用了Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本的SSL VPN。

2019年8月，安全研究员公布Pulse Secure SSL VPN 多个漏洞。攻击这些漏洞，可以读取任意文件包括明文密码、账号信息和Session信息，以及进入后台后执行系统命令。Pulse Secure官方已发布修复版本。

英国国家网络安全中心（NCSC）称，研究发现有高级持久威胁（APT）参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。受影响的部门包括政府，军事，学术，商业和医疗保健。FBI 在本年初评估了 2019 年末以来发生的 VPN 服务器漏洞攻击，发现波及广泛，已影响到美国和其他国家的许多部门。
     （责任编辑：fqj）