（文章來(lái)源：首席安全官）

近日，國(guó)內(nèi)安全公司發(fā)布報(bào)告稱，國(guó)家級(jí)APT組織DarkHotel，利用深信服VPN軟件的零日安全漏洞，入侵多家中國(guó)政府相關(guān)單位及駐外機(jī)構(gòu)。據(jù)透露，超過(guò) 200多臺(tái)VPN服務(wù)器被攻擊組織入侵。

4月7日中午，深信服（300454,SZ）發(fā)布公告確認(rèn)了這一消息，稱經(jīng)其分析發(fā)現(xiàn)，該事件的始作俑者為某黑客組織。在獲悉漏洞信息后，該公司已按照應(yīng)急響應(yīng)流程第一時(shí)間成立應(yīng)急事件處理小組，對(duì)該事件進(jìn)行徹底排查。自從冠狀病毒（COVID-19）爆發(fā)以來(lái)，由于遠(yuǎn)程辦公的必要需求，企業(yè)VPN使用量增加了33％，利用VPN漏洞發(fā)動(dòng)攻擊，成為黑客入侵政企機(jī)構(gòu)、布局全球網(wǎng)絡(luò)態(tài)勢(shì)的流行手段。

VPN（即虛擬專用網(wǎng)絡(luò)，Virtual Private Network）：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。VPN在企業(yè)、政府機(jī)構(gòu)遠(yuǎn)程辦公中起著舉足輕重的地位。這意味著，一旦VPN漏洞被黑客利用攻擊，將面臨巨大威脅。

2020年2月，以色列網(wǎng)絡(luò)安全公司ClearSky發(fā)布報(bào)告，重磅爆出伊朗“Fox Kitten”的網(wǎng)絡(luò)間諜計(jì)劃——利用未修補(bǔ)的VPN漏洞作為切入點(diǎn)，向全球政府和企業(yè)植入后門，引發(fā)安全界廣泛熱議。

根據(jù)該報(bào)告，伊朗攻擊組織利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企業(yè)VPN產(chǎn)品漏洞，入侵大型公司并在其中植入后門。2019年伊朗黑客組織快速武器化如下多個(gè) VPN 漏洞：Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

在新冠疫情全球范圍爆發(fā)，高度密切關(guān)注利用VPN漏洞發(fā)動(dòng)的網(wǎng)絡(luò)攻擊顯得尤為重要。早在2019年，大量 VPN 服務(wù)器就被曝出重大漏洞，加劇了VPN網(wǎng)絡(luò)安全態(tài)勢(shì)的風(fēng)險(xiǎn)。

其中，2019年4月，卡內(nèi)基梅隆大學(xué)CERT/CC稱，至少四款企業(yè)VPN應(yīng)用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN應(yīng)用。這四款應(yīng)用被證實(shí)以非加密形式將認(rèn)證和/或會(huì)話cookie存儲(chǔ)在計(jì)算機(jī)內(nèi)存或日志文件中。

2019年7月，Palo Alto GlobalProtect SSL VPN高危漏洞被公開，在/sslmgr位置存在格式化字符串漏洞，攻擊者可利用漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。受影響版本包括：PaloAlto GlobalProtect SSL VPN 7.1.x<7.1.19、8.0.x<8.0.12、8.1.x<8.1.3。

2019年8月，安全研究人員公布針對(duì)Fortigate SSL VPN（飛塔VPN）的漏洞說(shuō)明，其中一個(gè)任意文件讀取漏洞利用門檻較低，預(yù)計(jì)會(huì)對(duì)全球Fortigate SSL VPN造成較大影響。主要影響使用了Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本的SSL VPN。

2019年8月，安全研究員公布Pulse Secure SSL VPN 多個(gè)漏洞。攻擊這些漏洞，可以讀取任意文件包括明文密碼、賬號(hào)信息和Session信息，以及進(jìn)入后臺(tái)后執(zhí)行系統(tǒng)命令。Pulse Secure官方已發(fā)布修復(fù)版本。

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）稱，研究發(fā)現(xiàn)有高級(jí)持久威脅（APT）參與者利用已知漏洞入侵供應(yīng)商Pulse Secure、Fortinet、Palo Alto和Citrix的虛擬專用網(wǎng)VPN產(chǎn)品。受影響的部門包括政府，軍事，學(xué)術(shù)，商業(yè)和醫(yī)療保健。FBI 在本年初評(píng)估了 2019 年末以來(lái)發(fā)生的 VPN 服務(wù)器漏洞攻擊，發(fā)現(xiàn)波及廣泛，已影響到美國(guó)和其他國(guó)家的許多部門。
? ? ?（責(zé)任編輯：fqj）