阅读时间:3分钟
引言
在当今网络安全日益重要的环境中,选择一个合适的VPN产品至关重要。2024年1月19日,美国网络安全和基础设施安全局(CISA)发布了紧急指令24-01,以应对Ivanti Connect Secure和Ivanti Policy Secure的漏洞。本文将探讨这些漏洞的影响,并推荐一个高效的VPN解决方案。
CISA紧急指令概述
CISA有权在发现已知或合理怀疑的信息安全威胁、漏洞或事件时发布紧急指令。根据这项指令,美国联邦机构被要求在三天内采取措施,缓解两个新发现的漏洞。尽管采取了初步的缓解措施,CISA发现威胁行为者仍在利用这些漏洞,并已开发出绕过检测的方法。
威胁行为者的战术
根据法医调查,攻击早在2023年12月就已开始。攻击者通过结合两个未知漏洞,成功获得了对Connect Secure和Policy Secure设备的访问权限,实现了未经身份验证的远程代码执行(RCE)。
- CVE-2023-46805:这是一种身份验证绕过漏洞,允许远程攻击者绕过控制检查,访问受限资源。
- CVE-2024-21887:这是一种命令注入漏洞,允许经过身份验证的管理员在设备上执行任意命令。
通过利用这些漏洞,攻击者几乎完全控制了设备,能够获取用户凭据、进行文件修改、部署Web Shell等。
传统安全模型的局限性
这起事件揭示了传统“城堡与护城河”安全模型的不足。在这种模型中,远程用户被视为城堡外的威胁,而受保护的应用和资源则在城堡内部。然而,当攻击者控制了护城河本身时,客户面临的风险显而易见。
推荐的解决方案:Cloudflare的SASE平台
Cloudflare One是Cloudflare的单一供应商SASE平台,提供安全和网络服务的全面解决方案。以下是Cloudflare SASE平台的两大优势:
1. 零信任原则
Cloudflare One采用零信任原则,确保用户仅能访问与其角色相关的资源和应用。这种“最小权限”原则限制了攻击者的横向移动,降低了潜在的损害范围。
2. 内部系统的安全性
虽然客户管理员需要访问配置服务和策略,但Cloudflare One不提供对平台内部系统的任何外部访问。这种设计使得攻击者无法发起类似于对Ivanti设备的攻击。
结论
如果您的组织受到CISA指令的影响,或者您想要现代化并替换当前的VPN解决方案,Cloudflare可以提供帮助。Cloudflare的零信任网络访问(ZTNA)服务是连接任何用户与任何应用的最快、最安全的方法。
联系我们以获取即时入驻帮助,或安排架构研讨会,帮助您增强或替换Ivanti(或其他)VPN解决方案。
如果您还不准备进行现场对话,可以阅读我们的学习路径文章,了解如何用Cloudflare替换VPN,或查看我们的SASE参考架构,了解我们的所有SASE服务和接入方式如何协同工作。
