最近,攻击者正在利用新发布的脆弱性细节和PoC(概念验证)利用代码,从脆弱的Pulse Connect Secure SSL VPN和Fortigate SSL VPN安装中提取私钥和用户密码。
关于这些脆弱性
攻击者正在扫描并针对两种脆弱性:
- CVE-2019-11510:Pulse Connect Secure中的任意文件读取漏洞
- CVE-2018-13379:FortiOS SSL VPN网页门户中的路径遍历缺陷
这两种脆弱性都可以通过发送特制的HTTPS请求远程利用,不需要身份验证,允许攻击者从脆弱的服务器下载文件或提取敏感信息。
针对这两种漏洞的修复已于几个月前发布:Pulse Secure在4月发布了修复,而Fortinet则在5月发布。Devcore的研究人员Meh Chang和Orange Tsai在2019年黑帽大会上与观众分享了他们的发现。
研究人员本月早些时候还发布了Fortigate漏洞的技术细节和PoC利用代码,并计划很快发布Pulse Secure漏洞的相关信息。
自那时以来,针对这两种漏洞的额外利用代码已在GitHub上发布。
活跃的扫描和利用尝试
攻击者迅速开始尝试利用已发布的材料和利用代码。网络威胁情报公司Bad Packets在周五警告,针对脆弱Pulse Connect Secure端点的大规模扫描活动正在进行。随着扫描活动的持续和加剧,他们指出,仍然有近15,000个Pulse Secure VPN端点易受CVE-2019-11510攻击。
“我们发现有2,535个独特的自治系统(网络提供商)在其网络中有脆弱的Pulse Secure VPN端点。我们发现这项脆弱性目前影响美国军方、联邦、州和地方政府机构、公立大学和学校、医院和医疗服务提供者、电力公用事业、大型金融机构以及众多财富500强公司,”他们分享道。
研究人员Kevin Beaumont也标记了针对Fortigate服务器的攻击:
“Fortigate Fortinet SSL VPN自昨晚以来正在大规模利用,使用的是1996年风格的../../利用代码——如果你将其作为安全边界,建议尽快修补。” — Kevin Beaumont (@GossiTheDog)
应该怎么做?
显然,毫无疑问,管理员应该尽快更新他们脆弱的Pulse Connect Secure SSL VPN和Fortigate SSL VPN安装。
通过利用这些脆弱性,攻击者可以获取凭证,从而访问敏感的企业网络。
更新(2019年8月28日,太平洋时间凌晨3:04):
Pulse Secure的首席营销官Scott Gordon告诉Help Net Security,他们与客户积极合作,部署在4月提供的补丁。
“我们无法验证Bad Packets所描述的脆弱服务器数量是否存在风险,但我们可以确认大多数客户已应用补丁。例如,发现的一些未修补设备是测试设备和实验室设备,通常是隔离的,不在生产环境中,”他说。
“然而,Pulse Secure强烈建议客户尽快对所有设备应用补丁。我们正在继续联系尚未应用补丁的客户和合作伙伴,并要求他们立即这样做。客户(或他们的托管服务提供商)必须在Pulse Secure设备(物理或虚拟)上安装补丁,并随后重启设备。”
该公司的支持工程师可以帮助需要协助的客户,处理应用此修复和其他漏洞的修复,即使他们没有活跃的维护合同。
更多信息
- Devcore
- 利用(Exploit)
- Fortinet
- Pulse Secure
- 扫描(Scanning)
- VPN
- 脆弱性(Vulnerability)
通过及时更新和修补,企业能够有效保护自己的网络安全,防止潜在的攻击和数据泄露。
