连续6年不跑路的安全速度最适合国人VPN
概述
Pulse Secure SSL VPN 有多個嚴重的漏洞,這些漏洞在2019年8月7日的Black Hat USA 2019 會議上被兩位安全研究人員詳細揭露。儘管這些漏洞的細節已廣為人知,但APT(進階持續性威脅)攻擊者仍在積極利用這些漏洞以獲得對目標網路的存取權。
漏洞詳情
CVE-2019-11510 漏洞
被利用的漏洞是CVE-2019-11510,它允許未經過身份驗證的遠端攻擊者發送特製請求,從而讀取Pulse Secure VPN 上的任意檔案。這些檔案包括VPN 伺服器用來追蹤會話的資料庫、明文憑證和NTLM 雜湊值。 Volexity 觀察到,自會議結束約一週後,多個攻擊者開始利用此漏洞。
漏洞利用狀況
Volexity 發現攻擊者正在積極利用CVE-2019-11510 針對脆弱的Pulse Secure VPN 伺服器進行攻擊。解密的TLS 會話和日誌證實,攻擊者已存取各種檔案以協助入侵目標網路。
被存取的文件包括:
-
/etc/passwd(驗證漏洞) -
/etc/hosts(驗證漏洞) -
/data/runtime/mtmp/lmdb/randomVal/data.mdb(取得會話ID、明文憑證等) -
/data/runtime/mtmp/lmdb/dataa/data.mdb -
/data/runtime/mtmp/system
攻擊者行為
一旦攻擊者獲得資料庫文件,Volexity 觀察到以下行為:
- 使用獲得的會話ID 連線到VPN 以恢復或接管現有有效會話
- 破解本地儲存的帳戶並利用其連接到VPN 服務
- 使用獲得的會話ID 連線到VPN 的管理介面,可能會試圖對新連線的VPN 用戶端進行遠端程式碼執行
- 使用Pulse Secure VPN 伺服器資料庫中儲存的明文憑嘗試登入其他企業資源(如電子郵件)
2FA 的局限性
需要注意的是,儘管實施了雙重認證(2FA),但它無法防止攻擊者劫持有效的已認證會話。一旦有效使用者透過憑證和有效的第二認證因素登錄,攻擊者就可以在不受阻礙的情況下劫持該會話。
本地帳戶安全
組織通常使用獨立目錄(如LDAP 伺服器)進行使用者驗證。然而,Pulse Secure 設備將有一個或多個本機管理員帳戶。任何系統上的管理員帳號(如預設的「admin」帳號)都應更改密碼,並視為可能被遠端攻擊者破解。此外,組織還應檢查是否存在任何活躍的或有效的本地帳戶,這些帳戶可能具有VPN 存取權限。
檢測與回應
如果您正在執行受影響的Pulse Secure SSL VPN 版本,可以安全地假設自2019年8月初以來用於該裝置的憑證可能已被洩露。建議注意以下幾項:
- 檢查來自未知來源或列在網路指示器中的IP 位址的身份驗證記錄。
- 密切注意多因素認證失敗的記錄。
未經身份驗證的網路請求
如果Pulse Secure VPN 設定為記錄未經驗證的網路要求,可以查看以下類似條目的日誌:
info - [xxxx] - System()[][] - 2019/08/14 09:15:26 - VPN-Remote - Connection from IP xxxx not authenticated yet (URL=/dana-na/../dana/html5acc/guacamole/../../../../../../../data/runtime/mtmp/lmdb/randomVal/data.mdb?/dana/html5acc/guacamole/)
會話劫持風險
該漏洞的主要風險之一是它允許遠端攻擊者繞過組織VPN 伺服器通常要求的所有身份驗證形式,尤其是那些要求2FA 存取的伺服器。攻擊者可以透過提供名為DSID 的Cookie 中的活動會話ID 來直接存取目標的VPN 伺服器。
結論
Pulse Secure SSL VPN 的漏洞為攻擊者提供了多個攻擊向量。組織應立即檢查其VPN 伺服器的安全性,並採取必要措施以修復漏洞,確保網路安全。
