引言
最近,国家赞助的黑客利用了Ivanti公司的Connect Secure VPN(也称为Pulse Secure)中的两个零日漏洞,该公司为超过40,000个客户提供服务。这些之前未知的漏洞十分严重,能够让未经认证的攻击者在VPN设备上执行命令。
零日漏洞的发现
上周三,Ivanti公司发布了一则关于这一威胁的警报,此前一个月,安全公司Volexity发现疑似国家赞助的黑客通过他们的Connect Secure VPN设备入侵了一家客户的网络。Volexity的调查人员最初发现VPN的流量日志已被清除,日志记录功能被禁用。然而,通过进一步的证据,Volexity揭示国家赞助的黑客将一对零日漏洞串联起来,以劫持VPN设备。
Volexity表示:“当这两个漏洞结合时,攻击者可以轻松在系统上运行命令。”
攻击的具体情况
在此次事件中,攻击者利用这些漏洞窃取配置数据、修改现有文件、下载远程文件,并从工业控制系统(ICS)VPN设备进行反向隧道连接。这一威胁尤其令人担忧,因为许多公司使用企业VPN来让员工远程登录内部网络。Volexity补充说,国家赞助的黑客还被发现滥用他们的访问权限,“记录和提取登录VPN的用户凭据。”
Volexity进一步指出:“攻击者收集的信息和凭据使他们能够转向内部的若干系统,最终获得网络上系统的完全访问权限。”
政治背景与安全隐患
Volexity还表示,他们怀疑这些国家赞助的黑客来自中国,引用了该组织在渗透过程中使用的互联网域名。此事件的发生提醒我们,企业在使用VPN时必须加强安全防护,以防止类似的攻击。
Ivanti的应对措施
作为回应,Ivanti发布了一项缓解措施,以帮助防范这一威胁。然而,该公司仍在努力开发官方补丁,预计将于1月22日那周开始发布。Volexity补充说,目前的缓解措施“并不能修复过去或正在进行的安全漏洞。”
因此,Ivanti正敦促客户使用公司的“完整性检查工具”检查他们的VPN设备是否已经被攻破。Ivanti目前表示:“我们知道受漏洞影响的客户少于10个。”但安全研究人员指出,数千个Ivanti Secure Connect设备似乎仍在互联网上活跃。
总结
网络安全形势严峻,企业在使用VPN时需保持警惕,并定期检查设备的完整性。面对国家赞助的黑客,及时更新和修补漏洞是保护企业网络安全的关键措施。希望通过这次事件,企业能够更加重视网络安全,采取有效措施来防范潜在的攻击。
建议使用的VPN产品
在选择VPN时,我们推荐选择那些具备强大加密技术和安全防护措施的产品,例如:NordVPN、ExpressVPN或Surfshark。这些VPN提供商以其快速连接和高安全性而著称,是保护您在线隐私的理想选择。
