根据网络安全公司FireEye的报告,数月以来,疑似与中国有关的黑客利用一种流行的工作工具,侵入了美国和欧洲的政府机构、国防公司及金融机构。此报告揭示了黑客如何利用Pulse Secure VPN这一广泛使用的远程连接工具中的多个已知缺陷及一个新发现的漏洞,成功入侵了多个国防工业部门的组织。
网络安全危机的最新案例
周二的披露标志着美国面临的最新网络安全危机,紧随俄罗斯外部情报机构的SolarWinds入侵行动以及微软归咎于中国国家支持黑客的一系列服务器软件漏洞之后。
美国国土安全部在其公共通知中确认了这些入侵事件,敦促网络管理员运行专门的工具,以扫描是否存在被攻破的迹象,并安装Ivanti(Pulse Secure的所有者)发布的紧急临时解决方案。
减轻风险的紧急指令
国土安全部的网络安全与基础设施安全局(CISA)周二命令联邦民用机构采取多项措施,以降低来自疑似黑客攻击的风险。CISA发布了一项“紧急指令”,指示所有联邦民用机构确定他们使用该产品的实例数量,运行“完整性工具”检查潜在问题,安装更新,并在周五之前向CISA提交报告。紧急指令的发布十分罕见,通常用于具有高潜在风险的事件。
黑客的技术能力
FireEye的高级副总裁Charles Carmakal表示,利用Pulse Secure的攻击者非常复杂,他们利用访问权限窃取了受害组织的账户凭证和其他敏感数据。“这些攻击者技术水平高超,对Pulse Secure产品有深入的技术了解,”Carmakal说。
根据FireEye的报告,一些利用这些漏洞的入侵行为早在去年八月就已开始。报告指出,进行这些攻击的团体可能为中国政府工作,Carmakal补充道:“这部分活动与我们称之为APT5的中国黑客有一些相似之处。”
虽然其他黑客也利用了这些漏洞,但FireEye表示尚不清楚他们是否与特定政府有关联。
Pulse Secure的回应
在一篇博客文章中,Pulse Secure表示,新发现的漏洞仅影响“非常有限数量的客户”,并将在五月初发布更永久的软件更新来解决该漏洞。其他漏洞的补丁已经存在。
“Pulse Connect Secure(PCS)团队正在与一些在其PCS设备上发现利用行为的客户进行联系,”Pulse Secure表示。“PCS团队已直接向这些客户提供了补救指导。”
它还补充道:“我们鼓励客户应用并利用高效易用的Pulse Secure完整性检查工具,以识别其系统上的任何异常活动。”
CISA的持续支持
CISA表示,自3月31日以来,它已协助“多个实体”,这些实体的脆弱产品已被网络威胁行为者利用。“CISA一直与Ivanti, Inc.密切合作,以更好地了解Pulse Secure VPN设备中的漏洞,并减轻对联邦民用和私营部门网络的潜在风险,”该机构发言人Nicky Vogt周二表示。“我们将继续提供指导和建议,以支持可能受影响的组织。”
总结
网络安全形势严峻,Pulse Secure VPN的漏洞已被黑客利用,导致多个重要机构的安全受到威胁。各机构应尽快采取行动,确保网络安全,防止潜在的攻击。
