连续6年不跑路的安全速度最适合国人VPN
概述
Pulse Secure SSL VPN 存在多个严重的漏洞,这些漏洞在2019年8月7日的 Black Hat USA 2019 会议上被两位安全研究人员详细披露。尽管这些漏洞的细节已广为人知,但APT(高级持续威胁)攻击者仍在积极利用这些漏洞以获得对目标网络的访问权限。
漏洞详情
CVE-2019-11510 漏洞
被利用的漏洞是 CVE-2019-11510,它允许未经过身份验证的远程攻击者发送特制请求,从而读取 Pulse Secure VPN 上的任意文件。这些文件包括 VPN 服务器用来跟踪会话的数据库、明文凭证和 NTLM 哈希值。Volexity 观察到,自会议结束约一周后,多个攻击者开始利用此漏洞。
漏洞利用情况
Volexity 发现攻击者正在积极利用 CVE-2019-11510 针对脆弱的 Pulse Secure VPN 服务器进行攻击。解密的 TLS 会话和日志证实,攻击者已访问各种文件以协助入侵目标网络。
被访问的文件包括:
-
/etc/passwd(验证漏洞) -
/etc/hosts(验证漏洞) -
/data/runtime/mtmp/lmdb/randomVal/data.mdb(获取会话ID、明文凭证等) /data/runtime/mtmp/lmdb/dataa/data.mdb/data/runtime/mtmp/system
攻击者行为
一旦攻击者获得数据库文件,Volexity 观察到以下行为:
- 使用获得的会话ID 连接到 VPN 以恢复或接管现有有效会话
- 破解本地存储的账户并利用其连接到 VPN 服务
- 使用获得的会话ID 连接到 VPN 的管理界面,可能试图对新连接的 VPN 客户端进行远程代码执行
- 使用 Pulse Secure VPN 服务器数据库中存储的明文凭证尝试登录其他企业资源(如电子邮件)
2FA 的局限性
需要注意的是,尽管实施了双因素认证(2FA),但它无法防止攻击者劫持有效的已认证会话。一旦有效用户通过凭证和有效的第二认证因素登录,攻击者就可以在不受阻碍的情况下劫持该会话。
本地账户安全
组织通常使用独立目录(如 LDAP 服务器)进行用户身份验证。然而,Pulse Secure 设备将有一个或多个本地管理员账户。任何系统上的管理员账户(如默认的“admin”账户)都应更改密码,并视为可能被远程攻击者破解。此外,组织还应检查是否存在任何活跃的或有效的本地账户,这些账户可能具有 VPN 访问权限。
检测与响应
如果您正在运行受影响的 Pulse Secure SSL VPN 版本,可以安全地假设自2019年8月初以来用于该设备的凭证可能已被泄露。建议关注以下几项:
- 检查来自未知源或列在网络指示器中的 IP 地址的身份验证记录。
- 密切关注多因素认证失败的记录。
未经身份验证的网络请求
如果 Pulse Secure VPN 设置为记录未经身份验证的网络请求,可以查看以下类似条目的日志:
info - [x.x.x.x] - System()[][] - 2019/08/14 09:15:26 - VPN-Remote - Connection from IP x.x.x.x not authenticated yet (URL=/dana-na/../dana/html5acc/guacamole/../../../../../../../data/runtime/mtmp/lmdb/randomVal/data.mdb?/dana/html5acc/guacamole/)
会话劫持风险
该漏洞的主要风险之一是它允许远程攻击者绕过组织 VPN 服务器通常要求的所有身份验证形式,尤其是那些要求 2FA 访问的服务器。攻击者可以通过提供名为 DSID 的 Cookie 中的活动会话 ID 来直接访问目标的 VPN 服务器。
结论
Pulse Secure SSL VPN 的漏洞为攻击者提供了多个攻击向量。组织应立即检查其 VPN 服务器的安全性,并采取必要措施以修复漏洞,确保网络安全。
