最近,攻擊者正在利用新發布的脆弱性細節和PoC(概念驗證)利用程式碼,從脆弱的Pulse Connect Secure SSL VPN和Fortigate SSL VPN安裝中提取私鑰和使用者密碼。
關於這些脆弱性
攻擊者正在掃描並針對兩種脆弱性:
- CVE-2019-11510 :Pulse Connect Secure中的任意檔案讀取漏洞
- CVE-2018-13379 :FortiOS SSL VPN網頁入口網站中的路徑遍歷缺陷
這兩種脆弱性都可以透過發送特製的HTTPS請求遠端利用,不需要身份驗證,允許攻擊者從脆弱的伺服器下載檔案或提取敏感資訊。
這兩種漏洞的修復已於幾個月前發布:Pulse Secure在4月發布了修復,而Fortinet則在5月發布。 Devcore的研究人員Meh Chang和Orange Tsai在2019年黑帽大會上與觀眾分享了他們的發現。
研究人員本月稍早也發布了Fortigate漏洞的技術細節和PoC利用程式碼,並計劃很快發布Pulse Secure漏洞的相關資訊。
自那時以來,針對這兩種漏洞的額外利用程式碼已在GitHub上發布。
活躍的掃描和利用嘗試
攻擊者迅速開始嘗試利用已發布的材料和利用程式碼。網路威脅情報公司Bad Packets在周五警告,針對脆弱Pulse Connect Secure端點的大規模掃描活動正在進行中。隨著掃描活動的持續和加劇,他們指出,仍有近15,000個Pulse Secure VPN端點易受CVE-2019-11510攻擊。
「我們發現有2,535個獨特的自治系統(網路供應商)在其網路中有脆弱的Pulse Secure VPN端點。我們發現這項脆弱性目前影響美國軍方、聯邦、州和地方政府機構、公立大學和學校、醫院和醫療服務提供者、電力公用事業、大型金融機構以及眾多財富500強公司,」他們分享道。
研究人員Kevin Beaumont也標記了針對Fortigate伺服器的攻擊:
「Fortigate Fortinet SSL VPN自昨晚以來正在大規模利用,使用的是1996年風格的../../利用代碼——如果你將其作為安全邊界,建議盡快修補。」— Kevin Beaumont (@GossiTheDog )
應該怎麼做?
顯然,毫無疑問,管理者應該盡快更新他們脆弱的Pulse Connect Secure SSL VPN和Fortigate SSL VPN安裝。
透過利用這些脆弱性,攻擊者可以獲得憑證,從而存取敏感的企業網路。
更新(2019年8月28日,太平洋時間凌晨3:04):
Pulse Secure的首席行銷長Scott Gordon告訴Help Net Security,他們與客戶積極合作,部署在4月提供的修補程式。
「我們無法驗證Bad Packets所描述的脆弱伺服器數量是否存在風險,但我們可以確認大多數客戶已應用修補程式。例如,發現的一些未修補設備是測試設備和實驗室設備,通常是隔離的,不在生產環境中,」他說。
「然而,Pulse Secure強烈建議客戶盡快對所有裝置套用修補程式。我們正在繼續聯繫尚未套用修補程式的客戶和合作夥伴,並要求他們立即這樣做。客戶(或他們的託管服務提供者)必須在Pulse Secure設備(實體或虛擬)上安裝補丁,並隨後重新啟動裝置。
該公司的支援工程師可以幫助需要協助的客戶,處理應用此修復和其他漏洞的修復,即使他們沒有活躍的維護合約。
更多資訊
- Devcore
- 利用(Exploit)
- Fortinet
- Pulse Secure
- 掃描(Scanning)
- VPN
- 脆弱性(Vulnerability)
透過及時更新和修補,企業能夠有效保護自己的網路安全,防止潛在的攻擊和資料外洩。
