研究人员说,黑客正在积极发动攻击,试图从未能对两种广泛使用的虚拟专用网络(VPN)产品应用关键修复程序的服务器窃取加密密钥、密码和其他敏感数据。
本月早些时候在拉斯维加斯举行的黑帽安全会议上,研究人员称,通过发送包含特殊字符序列的未修补服务器Web请求,可以利用这些漏洞。Devcore Security Consulting的研究人员报告说,预先授权的文件读取漏洞存在于安装在大约48万台服务器上的Fortigate SSLVPN和安装在大约50000台机器上的竞争脉冲安全SSLVPN中。
Devcore研究人员发现了这两种产品的其他关键漏洞。这使得攻击者可以远程执行恶意代码和更改密码。用于Fortigate VPN的补丁在5月和4月可用于脉冲安全。但是,安装补丁通常会导致服务中断,从而阻止企业执行基本任务。
安全情报服务BadPackets周末进行的互联网扫描显示,有14,528个脉冲安全VPN端点容易受到缺陷的影响,目前正在被利用,而以前的扫描发现了大约2,658个未补丁的服务器。在121个发现了易受攻击的服务器。以下是受影响最严重的分类:
扫描发现,易受攻击的端点属于大约2,535块IP地址,称为自主系统。这些协会属于各种敏感组织,包括:
独立研究员凯文·博蒙特说,在过去的36个小时里,黑客已经开始用代码喷洒互联网,试图机会主义地利用这一困难。他说,他发现对Fortigate服务器的攻击来自91.121.209.213,这是一个IP地址,历史上有过不当行为。上周五使用BinaryEdge搜索引擎进行的扫描显示,一个新的IP地址52.56.148.178也开始为同样的漏洞喷洒漏洞。
本月早些时候,随着漏洞的跟踪,CVE-2018-13379的两个漏洞代码示例在这里和这里公开。前者实际上获取存储在易受攻击机器上的数据,而后者只是检查机器是否易受攻击。
与此同时,博蒙特说,试图利用未补丁的脉冲安全服务器的攻击来自2.137.127.2。利用代码本周早些时候公开了。BadPackets背后的独立研究人员特洛伊·穆尔施(Troy Mursch)说,他还发现来自81.40.150.167的攻击也试图利用或测试漏洞,该漏洞被索引为CVE-2019-11510。如果一个大规模扫描识别出一个易受攻击的服务器,那么它可能会利用Devcore研究人员也发现的一个代码执行缺陷。
“这些扫描针对的是容易被任意文件读取导致私钥和用户密码敏感信息泄露的端点,”Mursch告诉Ars。“然后,这些凭据可以用于进行进一步的命令注入攻击(CVE-2019-11539),并访问允许进一步恶意活动的私有网络。
Mursch说,他用来检测攻击的蜜罐服务器也能够识别IP地址2.137.127.2也是针对Pulse Security漏洞的。他说,他不相信这两个IP都是由一位研究人员操作的,他只是在扫描未补丁的服务器。他的蜜罐无法检测到攻击Fortigate漏洞的代码。博蒙特用的是BinaryEdge提供的蜜罐。
这些漏洞之所以严重,是因为它们影响了一个软件,该软件需要访问互联网,并充当组织网络中高度敏感部分的网关。获取散列,在某些情况下获取明文密码、加密密钥和其他敏感数据,可以让人们穿透这些网络。有了更多的工作,识别未补丁服务器的攻击者也可以利用Devcore研究人员发现的其他漏洞。他们称之为“魔法后门”的一个Fortigate漏洞允许知道硬编码密钥的远程攻击者更改密码。
来自Fortinet和Pulse Secure的代表说,这些公司几个月来一直在敦促客户尽快修补他们的系统。任何一家公司都不能证实或扩大来自博蒙特和莫施的扫描报告。使用这两种VPN的组织现在应该花时间来确保它们不是脆弱的。