开门:为什么企业需要优先考虑修补SSL vpn

三个关键SSL VPN漏洞已成为利用最先进的一些演员和ransomware团体持续威胁。

有效地优先考虑补救的努力,后卫必须了解攻击者的目标是组织,然后按照这些知识。漏洞在SSL VPN产品的一些最首次进入目标网络被攻击者利用,充当剥削的门口。后卫需要开门——权力的游戏粉丝们会理解这个引用。维护分布式企业网络,团队必须确保他们的SSL VPN产品完全更新和正确配置让攻击者。

今年早些时候,成立安全响应团队(SRT)发表我们的威胁景观回顾(TLR)从2020年报告检查主要趋势。这些趋势之一就是流行的安全套接字层(SSL)虚拟专用网(VPN)漏洞和威胁演员。TLR特别强调以下三个漏洞在VPN产品的五大漏洞。

CVE	受影响的产品	CVSS	冲程体积*
cve - 2019 - 19781	Citrix应用程序交付控制器(ADC),网关和SD-WAN WANOP	9.8	9.9
cve - 2019 - 11510	脉冲安全SSL VPN连接	10.0	10.0
cve - 2018 - 13379	Fortinet Fortigate SSL VPN	9.8	9.9

*请注意:站得住脚的脆弱性优先级评级(冲程体积)的分数计算。这篇文章发表在8月25日,反映了当时冲程体积。

资料来源:2020年成立景观回顾性的威胁,2021年1月。

虽然三个漏洞都被披露在2019年,由2020年1月,修补他们继续中途经常利用超过2021。根据从四个国际政府机构联合网络安全顾问,这些漏洞是2020年最剥削。事实上,cve - 2019 - 19781被评为2020年的大部分利用漏洞根据政府的数据。

基于这些信息,我们认为这是谨慎的重新审视历来利用这些漏洞,攻击者如何随着攻击的新报告,2021年。我们希望收集此信息在一个地方将说明修补这些漏洞的可怕的重要性对于任何组织已经滞后。

SSL vpn:攻击者的门口

提供一个更全面的图片,我们也探索其他有关cf的三个关键SSL VPN产品。额外的cf高亮显示在下表中已包含在警报与上面列出的三个或搭配其他漏洞攻击链的一部分。

产品	cf
Citrix ADC,网关和SD-WAN WANOP	cve cve - 2019 - 19781 - 2020 - 8193 cve - 2020 - 8195, cve - 2020 - 8196
脉冲安全SSL VPN连接	cve cve - 2019 - 11510 - 2019 - 11539, cve - 2020 - 8260, cve cve - 2020 - 8243 - 2021 - 22893
Fortinet Fortigate SSL VPN	cve cve - 2018 - 13379 - 2018 - 13382, cve - 2018 - 13383, cve cve - 2019 - 5591 - 2020 - 12812

来源:成立,2021年8月

Citrix ADC,网关和SD-WAN WANOP

cve - 2019 - 19781是一个路径或目录遍历漏洞在Citrix ADC、网关和SD-WAN WANOP产品披露12月17日,2019年。它收到了CVSSv3得分为9.8。当时的漏洞公布,没有可用的补丁。利用这个漏洞,未经过身份验证的远程攻击者可能会发送一个专门制作的请求包含一个目录遍历字符串一个脆弱的Citrix端点。成功开发允许攻击者执行任意代码。

目录遍历缺陷不新,他们已经存在了几十年,但他们已经看到近年来复苏。顾名思义,开发目录遍历缺陷允许攻击者遍历文件路径,通常会无法访问非管理员用户。

几个星期以来,有一个期望,没有补丁,这个漏洞将会利用在野外。2020年1月10日,从研究人员的广泛关注和分析后,利用脚本公开流传。第二天,无网络风暴中心报道对其honeypot剥削尝试使用这些脚本。Citrix终于发布了补丁cve - 2019年- 19781年1月24日,2020年。基于开发,持续到2021年的历史,它是安全的,许多组织还没有应用这些补丁一年半后释放。

开发cve - 2019 - 19781开始后不久被披露。报告和警报流传2020年,获得它的状态大多数利用CVE。你不会希望一个漏洞这个流行的消失在黑暗中,你会是正确的。攻击者继续利用这个漏洞到2021年。

cve - 2019 - 19781已经被几个威胁杠杆组针对医疗行业。Ransomware像迷宫(现已倒闭)和孔蒂有偏好攻击远程桌面协议,但也被观察到利用cve - 2019 - 19781袭击医疗保健行业。此外,先进的持续威胁(APT)组织利用这个漏洞对目标致力于COVID-19疫苗的发展。

攻击者表示他们偏爱这个漏洞在网络论坛2020年1月至2021年3月。CVE - 2019 - 19781是上面提到的CVE俄语和英语黑暗的网络论坛,根据Cognyte研究。49个帖子中提到的,第二个最高的职位。

2021年6月,研究人员趋势科技尼菲林ransomware集团发布的一份分析报告。这项研究显示,这一群体使用cve - 2019 - 19781作为一个初始攻击向量。Trend Micro尼菲林作为一个案例研究来说明行为的“现代ransomware袭击,”所以,有理由,其他ransomware集团也在袭击中使用这个漏洞。

脉冲连接安全

2019年4月,脉冲安全发布了一个带外安全咨询为了解决多个漏洞的脉冲连接安全SSL VPN解决方案,包括一些缺陷披露研究者Meh Chang和橙色蔡DEVCORE研究团队。最显著的弱点中列出的cve - 2019 - 11510咨询,任意文件披露漏洞被分配的最大CVSSv3得分10.0。一个未经身份验证的远程攻击者可能会利用这个安全漏洞通过发送一个HTTP请求包含一个专门制作目录遍历字符串。

成功开发cve - 2019 - 11510将允许攻击者读取的内容敏感脆弱的脉冲连接安全设备上的文件。一个文件,特别是数据。mdb,包含SSL VPN的纯文本密码。如果攻击者能够读这个文件,它们可以使用纯文本密码进行身份验证SSL VPN的脆弱。本身的弱点是很重要的,因为它容易允许攻击者进行身份验证SSL VPN设备通过简单地发送请求脆弱。然而当链接cve - 2019 - 11539,脉冲安全post-authentication命令注入漏洞,攻击者可以访问受限制的环境中,比如一个企业网络。

Post-authentication缺陷后利用一个攻击者成功地验证一个脆弱的设备,使用一个单独的pre-authentication漏洞或使用有效身份证件通过盗窃或暴力。

2019年8月,Chang和蔡黑帽和DEF CON 27演讲关于他们的研究成几个SSL vpn,概念验证(PoC)利用脚本GitHub上开始流传。不久之后,研究人员发现试图增加扫描和利用脆弱的脉冲连接安全系统。

除了敏感的纯文本密码可以通过利用cve - 2019 - 11510,研究人员还发现,攻击者可以访问活动目录使用静态密钥加密的凭证这将允许“易解密。”

2020年1月,攻击者利用cve - 2019 - 11510为了部署REvil,或Sodinokibi ransomware。今年3月,研究人员在帕洛阿尔托网络单元42指出cve - 2019 - 11510也是使用的迷宫ransomware组。只是一个SSL VPN的漏洞利用ransomware组让他们进门之前横向为了分发ransomware载荷通过网络。

在2021年第一季度,一份报告Nuspire显示增加了1527%在试图利用cve - 2019 - 11510对脆弱的脉冲安全SSL vpn连接。

尽管大部分的注意力一直在为理由cve - 2019 - 11510,一个零日脉冲连接安全,确认为cve - 2021 - 22893,2021年4月公布这是利用在野外。这种披露后不久,研究人员发现中国威胁演员们利用cve - 2021 - 22893以及其他post-authentication漏洞在脉冲连接安全缺陷除了cve - 2019 - 11539。这些包括cve - 2020 - 8260和cve - 2020 - 8243,两个管理员web界面的缺陷修补的脉冲连接安全设备9月和2020年10月。

Fortinet FortiOS

2019年5月,Fortinet发布的产品安全事件响应团队(PSIRT)咨询fg - ir - 18 - 384为了解决cve - 2018 - 13379,一个目录遍历脆弱性FortiOS SSL VPN。缺陷允许未经过身份验证的攻击者使用的HTTP请求访问任意的系统文件。

这个漏洞被Chang和蔡DEVCORE美国2019年相同的黑帽和DEF CON 27演示前面提到的脉冲安全漏洞。这一对详细的如何利用cve - 2018 - 13379获得会话文件包含用户名和VPN用户的明文密码,非常类似于cve - 2019 - 11510。这些数据将被证明是有价值的和额外的漏洞链在VPN,包括cve - 2018 - 13383,post-authentication堆溢出漏洞利用获得影响版本的远程shell FortiOS SSL vpn。cve - 2018 - 13383是PSIRT咨询解决fg - ir - 18 - 3882019年4月与额外的影响5月发布分支修补,2019年8月和11月。

黑帽和DEF CON会议后不久,Fortinet发布了博客讨论了漏洞和补丁,敦促客户尽快应用补丁。在一个月内会谈会议后,攻击者开始利用脆弱的设备和发布多个poc几个cf FortiGate SSL vpn。

虽然cve - 2018 - 13379是最青睐的漏洞攻击者之一,恰当的组织,额外的缺陷FortiOS被Fortinet识别和修补,包括cve - 2019 - 5591和cve - 2020 - 12812,演员也杠杆的威胁。

cve - 2019 - 5591是一个默认的配置漏洞的FortiGate SSL VPN由于缺乏验证的轻量级目录访问协议(LDAP)证书,这将允许攻击者获取敏感信息用于合法的LDAP服务器。

cve - 2020 - 12812是一个不适当的身份验证漏洞的FortiGate SSL VPN由于配置错误的设置双因素身份验证。这可能是利用了如果一个合法的用户更改自己的用户名的情况下,取消第二个因素要求,允许攻击者绕过两因素身份验证。

根据Nuspire利用cve - 2018 - 13379,攻击Fortinet的SSL vpn在2021年第一季度增加了1916%。

在一个4月报告从卡巴斯基ICS CERT事件反应调查表明cve - 2018 - 13379是利用的初始入口点到一个企业网络威胁演员后来部署哭喊ransomware。的哭喊ransomware是一种相对较新的ransomware变体,利用两种形式的加密和删除备份文件在试图迫使受害者支付赎金。

与公众poc和充足的修改设备的攻击目标,FortiGate SSL vpn攻击者仍将高价值的入口点,除非采取行动,以确保设备和应用必要的安全更新。继续攻击,Fortinet试图接触客户,定期更新发布,包括博客2021年6月立即敦促消费者采取行动应对应用补丁或PSIRTs概述。

威胁目标这三个演员SSL vpn

民族国家的演员表现出偏爱SSL VPN的漏洞。2021年4月15日国家安全局(NSA)和联邦调查局(FBI)发表了一份联合警觉对俄罗斯外国情报服务(SVR)活动利用这些漏洞。在此之前从2020年指着发起的攻击警报中国、伊朗和俄罗斯利用这些漏洞。这些漏洞往往是杠杆利用链导致域控制器的收购通过使用cve - 2020 - 1472,也被称为Zerologon。

一个额外的咨询的FBI在2021年5月敦促立即修补cve - 2018 - 13379, cve - 2020 - 12812和cve - 2019 - 5591,同时提供指标的妥协(国际石油公司),已经观测到恰当的活动。cve cve - 2018 - 13379 - 2019 - 19781和cve - 2019 - 11510都包含在一个联合咨询清单上面经常利用2020年的网络安全漏洞和基础设施安全机构(CISA),英国国家网络安全中心(成都市),澳大利亚网络安全中心(中心)和联邦调查局。

攻击者不会停止,除非你开门

可能是常识,但它强调一遍:威胁演员习惯性地利用老漏洞的利用或PoC代码可用。在这篇文章中所描述的所有产品一直受到ransomware团体获得初始进入网络。大多数现代ransomware组织运作ransomware-as-a-service,他们提供恶意软件和基础设施,但依靠子公司获得组织为了ransomware部署。子公司使用各种方法来进入。因为SSL VPN为组织提供一个门口,ransomware子公司将继续针对这些应用补丁的缺陷,直到组织采取措施加强这些入口点修补漏洞的SSL VPN产品。

我们的重点是在一些特定的漏洞,最重要的教训是,常规的修补和维护SSL vpn网络卫生的绝对是一个至关重要的方面。其他三个漏洞在Citrix ADC,网关和SD-WAN (cve - 2020 - 8193,cve - 2020 - 8195和cve - 2020 - 8196去年被攻击者利用,包括中国威胁的演员针对我们详细介绍这里的漏洞。

多个漏洞脉冲连接安全,Fortinet也被威胁利用演员,即使他们表现出对一些特定的漏洞。脉冲连接安全漏洞尤其青睐的演员的威胁。有至少16恶意软件已经开发利用的家庭在脉冲连接安全漏洞的价值,进一步巩固遗留缺陷在SSL vpn网络罪犯和恰当的组织。Fortinet,cve - 2018 - 13383和cve - 2018 - 13382攻击者可能是有价值的,特别是利用链。这两个漏洞利用恰当的组织。

解决这些持续利用SSL vpn的漏洞,也许,最简单的优先级决定为所有组织。多年来一直用于这些漏洞补丁;各种各样的攻击者已经针对他们一样久。政府机构已多次提醒主张立即采取行动。创建维护窗口更新SSL vpn是很困难的,特别是在远程员工分布在时区。但是如果您的组织使用这些产品之一,尚未修补相关漏洞,现在制定计划来解决这个问题。很难低估风险。

确定影响系统

站得住脚的插件的列表来确定讨论的所有漏洞在这篇文章中可以找到在这里。此外,许多这些cf是包含在我们的2020威胁景观回顾扫描政策,可用于目标扫描的cf TLR覆盖报告。

扫描策略可以站得住脚的产品,包括Nessus站得住脚的。sc和Tenable.io。

获得更多的信息

• 站得住脚的威胁景观回顾
• 站得住脚的博客:关键漏洞Citrix ADC和网关将积极开发
• 站得住脚的博客:在脉冲连接安全利用零日漏洞在野外
• 站得住脚的博客:FortiGate和脉冲连接在野外安全漏洞
• 联合政府提醒:经常利用漏洞

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。