Kroll最近审查了多种涉及远程访问妥协的事件响应案例。随着创纪录数量的员工在家工作,意外和恶意数据泄露事件正在上升,许多事件与虚拟专用网络(VPN)或远程桌面协议(RDP)连接的漏洞有关。
VPN与RDP的安全性对比
虽然VPN传统上比RDP解决方案更安全,但过去一年中,多个VPN服务提供商发布了重要的软件补丁,网络犯罪分子迅速利用了这一点。未及时更新VPN软件的组织如今成为勒索软件运营者和其他恶意行为者的主要目标。美国国家安全局(NSA)在最新的网络安全建议中敦促组织检查VPN产品的更新。建议警告称:“将您的VPN产品升级到最新的供应商发布版本,以保护您的网络免受这些攻击。”已知的漏洞包括Pulse Secure™、Palo Alto GlobalProtect™和Fortinet FortiGate™ VPN产品。
Pulse Secure VPN的漏洞
Pulse Secure VPN特别脆弱,因为该公司去年发布了针对CVE-2019-11510的关键警报,该漏洞允许远程身份验证访问VPN设备。Pulse Secure的建议指出,这些漏洞可能“允许未经过身份验证的用户对个人通信服务(PCS)网关执行远程任意文件访问……并允许经过身份验证的管理员执行远程代码执行……”,这些都对您的部署构成了重大风险。该建议在2020年更新,以反映新的利用信息和建议。考虑到没有替代解决方案,网络安全和基础设施安全局(CISA)建议应用供应商提供的补丁并执行所有必要的系统更新。
威胁行为者如何利用脆弱的VPN?
行为者主要通过扫描互联网识别潜在的企业目标,然后通过已知漏洞访问用户帐户。过去,威胁行为者最常通过“会话劫持”来妥协VPN,在获取有效的会话ID后,利用暴力攻击或逆向工程等手段。
Kroll的副总经理Thomas Brittain表示,这种情况发生了显著变化。他评论道:“我们看到的案例中,行为者在没有会话劫持的情况下获得访问权限,这得益于CVE-2019-115110的预身份验证漏洞,允许不受限制的访问。基本上,行为者可以查询脆弱的VPN以提取帐户的唯一ID,然后利用网页浏览器开发工具手动设置ID的值,从而获得对VPN管理员控制台的未认证访问。”从那里,拥有系统访问权限的行为者通常很快就能远程连接到内部系统。一旦进入内部网络,他们下载并执行程序和命令进行侦察,收集密码,从而在网络中横向移动,并在许多情况下准备部署勒索软件。
VPN漏洞的黑暗网络
探索漏洞的初步挑战往往是找到利用它们的方法,因为这涉及仔细的研究,可能需要重新思考现有的攻击向量。复杂的利用脚本在黑暗网络市场上可以达到数千美元,而一些特别有效的利用工具实际上被视为军事武器。然而,对于CVE-2019-11539,黑暗网络上可以找到免费的有效利用工具。
案例研究
Kroll最近的案例研究强调了组织了解其VPN基础设施当前状态并在连接互联网之前应用所有补丁的关键需求。Sodinokibi勒索软件行为者通过Pulse Secure VPN的一个漏洞进入客户系统。行为者开始在客户的所有服务器上部署勒索软件,并随后发送赎金要求,威胁发布被窃取的数据。
在客户网络中添加两个未打补丁的VPN设备后仅一到两天,行为者便发起了攻击。Kroll的调查发现,在勒索软件攻击之前,客户的域管理员和IT主任的凭据被泄露。一旦获得网络访问权限,行为者创建了两个新的域管理员帐户。这个例子展示了尽快修补脆弱VPN设备的重要性。
总结
随着远程工作的普及,VPN的安全性愈发重要。企业应定期检查和更新其VPN产品,以防止潜在的网络攻击和数据泄露。请务必关注最新的安全建议,并采取必要的措施保护您的网络安全。
