top of page

重量級VPN漏洞威脅曝光:MITRE組織遭駭客攻擊揭開VPN安全疑慮

作家相片: WIZON TeamWIZON Team
重量級VPN漏洞威脅曝光:MITRE組織遭駭客攻擊揭開VPN安全疑慮

最近除了地震造成人心惶惶外,有2起重量級的資安事件也對企業級的VPN安全帶來極大的震撼。做為遠端安全存取的VPN應用服務,對於多數企業組織的重要性與日俱增,最顯著的需求感受莫過於COVID-19疫情期間所造成的大量遠距工作模式,如今雖然疫情結束了,但是VPN遠端安全存取卻已經成為企業組織在面臨災害應處的一項要求。由於VPN功能多半是位屬於連結網際網路的管道,因此它在資安風險程度上也不斷攀升,成為多數駭客攻擊利用的途徑。

在4月份發生的2起重量級的資安事件,分別為Palo Alto Networks零日漏洞 及 MITRE遭駭客成功入侵,由於二者都是在資安領域極為知名且安全成熟的組織單位,卻都發生與VPN相關的重磅資安事件,非常值得思索探討的。

Palo Alto Networks 的VPN零日漏洞引爆安全風險!

在今年4月,全球知名的資安公司Palo Alto Network針對旗下的PAN-OS軟體發出零日漏洞CVE-2024-3400的緊急公告,漏洞風險極高(CVSS評分:10.0),並且已經有對此漏洞的概念驗證攻擊程式被公布在網路上,而利用該漏洞的攻擊數量也不斷增加。

值得注意的是,CVE-2024-3400零日漏洞利用GlobalProtect功能來進行指令注入攻擊(Command Injection),可以讓未經身份驗證的攻擊者能夠在該公司防火牆PAN-OS軟體以root權限執行任意程式碼。而「GlobalProtect」是Palo Alto Networks新世代防火牆上作為使用者端點遠端安全存取VPN的重要功能,因此對於啟用GlobalProtect Gateway、或GlobalProtect 入口網站、或二者都啟用下的設備都受到此次影響。根據資安研究公司Volexity的調查發現,不僅已經有攻擊者嘗試利用在防火牆部署後門程式之外,並且已有成功植入惡意Payload並下載其他惡意程式,進而侵入執行內部橫向移動和竊取憑證及檔案。

由於Palo Alto Networks防火牆是相當優秀的資安防護產品,而GlobalProtect則是安全性可靠的遠端安全存取,因此在國內外都有非常多對資安防護要求高的企業級用戶。假如您是用戶之一,請務必盡快進行更新作業與應對準備,否則就得思考下面所要討論的MITRE遭駭客入侵的情況了!


Ivanti VPN漏洞問題造成 MITRE遭駭客成功入侵!

相信各位對於MITRE組織並不陌生,其主要的MITRE ATT&CK框架可說是現今最為知名主流的攻擊指南,不過即使是像MITRE組織如此成熟的資安機構也可能遭遇駭客成功入侵,而MITRE組織此次所遭遇的資安事件與 Ivanti Connect Secure漏洞有關。

Ivanti Connect Secure是全球知名的SSL VPN方案,原為Pulse Secure在2021年被併入Ivanti公司旗下。在今年1月時,Ivanti發布其VPN產品Ivanti Connect Secure含有零日漏洞並已遭駭客利用,而發現該漏洞被利用攻擊的也是上述的資安研究公司Volexity。Volexity公司在去年12偵測到其客戶網路有可疑的橫向移動,進一步調查後確認有駭客利用Ivanti Connect Secure設備的漏洞進行入侵。其威脅程度引發五眼聯盟(Five Eyes)發布安全示警外,美國CISA也史無前例的下令聯邦機構緊急在2024/2/2 pm11:59前斷開所有Ivanti VPN設備的連結。但是即便如此,在今年3月仍傳出CISA所屬的Ivanti伺服器遭到入侵而導致2個系統被駭,如今又發生MITRE組織遭受入侵的事情,都是利用Invanti Connect Secure漏洞侵入。

值得注意的是,CISA及MITRE都是資安健全成熟的組織,但是在面對漏洞利用的情況下仍就很難完全避免駭客攻擊;此外,MITRE的聲明中提到已遵循政府和Ivanti的建議,已升級、更換並強化了Ivanti系統,雖然沒有跡象顯示MITRE的核心內部網路或合作夥伴系統受到這起事件的影響,但仍會對此事件進行調查。


VPN是企業必須重視的安全隱患

類似於上述的VPN問題所引發的資安事件相當多起,以之前橫行四方的LockBit勒索攻擊事件中就有很高的比率是針對企業網路安全設備漏洞所造成的VPN安全問題,侵入到企業內部進行惡意程式指令的佈放並注入勒索軟體。

以MITER所公布此次遭受攻擊的情況,攻擊者疑似在今年1月起便針對MITRE的網路進行偵查,利用Ivanti Connect Secure的2個漏洞存取VPN網路系統,並繞過雙因子驗證流程,在成功侵入後開始內部橫向移動,進一步利用已外洩的管理者帳號挖掘環境中的VMware虛擬系統;據MITRE組織說明目前只有「網路儲存、運算和網路資源」受到影響,並且表示應是遭到國家級駭客組織入侵。MITRE組織的受駭過程非常值得各個企業單位作為借鏡,因為在我們處理及接觸的案例中,包括大型企業及中小型企業都有極為相似的過程,只是受駭的情況不同,包括遭受勒索加密攻擊、入侵破壞系統、或竊取資安等。

回溯近2年來類似的VPN漏洞事件,包括Cisco、Fortinet、Sonicwall、F5 Networks、Citrix等知名的網路資安品牌都曾爆出過影響巨大的VPN漏洞安全問題,而且在漏洞公布後也很多出現駭客組織進行漏洞利用攻擊;比如2023年Cisco SSL VPN漏洞被勒索軟體Akira利用下就有超過110個組織被鎖定為攻擊目標,2020年由研究單位Bank Security通報指出全球近五萬台Fortinet SSL VPN裝置登入資訊遭竊而造成多家金融機構及政府機關被駭。相關的事件確實不勝枚數,但值得各位關注的是:


  1. 這些知名廠牌設備也多半是信任並採用的安全裝置,不做維護的話也會造成「安全失效」。

  2. 由於防火牆及VPN功能多半是連結網際網路的關鍵位置,因此駭客可以從公開網路上進行掃描探勘到存在該漏洞的設備作為攻擊目標。

  3. 不僅只有漏洞問題要注意,登入VPN遠端存取別再用簡單或共用密碼,目前也有暴力撞庫(俗稱暴力破解)攻擊正大規模進行著。

  4. VPN安全疑慮不只在於設備閘道端,使用者端的VPN連線軟體也是受影響範圍。

  5. 切記,一但有安全風險疑慮就儘速更新吧,千萬別心存僥倖。

零信任資安思維,端點安全是最佳的資安起始

大家從本次討論的VPN安全問題中,可以發現到資安防護設備本身也會是造成企業安全的一道破口,其實在近幾年不斷被推廣的「零信任安全 Zero Trust 」是值得各位具備的資安思維。

從上述的案例經驗中都告訴我們必須要具備「資安破防」的狀況發生,因此「端點安全」可說是最後的一道有效防線,端點的電腦及伺服器都是主要的工作站,是資安破防的發生起點、也會是攻擊最終目標,所以在端點安全的防護設計上就更顯得有效。 WiZON CSR 做為端點資安防護是最佳的方案,依循 NIST CSF框架能滿足更周全的保護設計需要,包括具備漏洞管理來避免曝險、具備先進的主動防護能力、具備異常偵測與響應的EDR能力、及具備安全備份還原機制,融合專家協助的資安即服務,能夠快速幫助企業安全基礎上多加一道可靠的守護。


💡 參考資料:

Comments


bottom of page