E安全4月8日訊，自從冠狀病毒(COVID-19)爆發以來，由于遠程辦公的必要需求，企業VPN使用量增加了33%，這也成為黑客發起攻擊的一個突破口。據相關媒體報道，與韓國有聯系的威脅組織利用零日漏洞攻擊了某中國政府機構，該漏洞影響了境內VPN服務。數據顯示，從3月開始，DarkHotel組織就已經鎖定了許多中國機構。

　　據悉，攻擊者利用深信服VPN服務中一個安全漏洞來傳播后門惡意軟件。對此，深信服表示，黑客利用VPN客戶端更新過程中的漏洞，用后門取代了合法的更新，黑客大約攻擊了200個VPN服務器并注入惡意軟件。這些攻擊主要針對的是中國的組織以及一些其他國家在中國設立的機構。事件發生后，深信服科技立刻發布了一則《關于境外非法組織利用深信服SSL VPN設備下發惡意文件并發起APT攻擊活動的說明》，說明了境外APT組織通過深信服VPN設備漏洞拿到權限后，進一步利用SSL VPN設備Windows客戶端升級模塊簽名驗證機制的缺陷植入后門的APT攻擊活動過程。

　　其實，在過去的2019年是許多企業VPN服務器，例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服務器，被披露有嚴重安全漏洞的一年。

　　早在去年九月份，英國國家網絡安全中心(NCSC)就發表報告稱，他們正在研究有高級持久威脅(APT)參與者利用已知漏洞入侵供應商Pulse Secure、Fortinet、Palo Alto和Citrix的虛擬專用網VPN產品。當時該活動也被認為是由某國政府主導的，攻擊是針對英國和國際組織發起的，受影響的部門包括政府，軍事，學術，商業和醫療保健。事件發生后，這些VPN漏洞已在開放源代碼中得到了充分記錄，通過行業數據表明，數百名英國主機可能會受到攻擊。 據悉，當時攻擊影響了：

　　Pulse Connect Secure VPN兩個漏洞是CVE-2019-11510和CVE-2019-11539;

　　Fortinet的Fortigate設備中的三個漏洞CVE-2018-13379，CVE-2018-13382和CVE-2018-13383;

　　Palo Alto的GlobalProtect門戶和GlobalProtect網關接口產品CVE-2019-1579中的嚴重遠程執行代碼錯誤。

　　Citrix“ ADC” VPN中披露的漏洞CVE-2019-19781

　　也是在去年九月份，SafeBreach Labs的研究人員在Forcepoint VPN客戶端中發現了一處特權升級漏洞。受影響的產品為Forcepoint VPN Client for Windows軟件的6.6.0及更低版。該漏洞不僅可用于提升攻擊者的特權，還將允許攻擊者長期訪問受感染系統。據了解，該VPN程序的可執行程序的路徑和命令行中的參數之間缺少引號字符串當黑客在C：\Program.exe和C： \Program Files(x86)\Forcepoint \ VPN.exe 中植入惡意程序時，該VPN程序將自動執行惡意程序，并將黑客權限提升至系統級。

　　2019年的四月份，美國政府網絡安全和基礎架構安全局(CISA)發出警報，由四個供應商Cisco, F5 Networks, Palo Alto Networks和 Pulse Secure 構建的VPN應用存在嚴重漏洞。通過該漏洞，攻擊者可以通過訪問身份驗證或會話令牌，重播數據信息以欺騙用戶的VPN會話，并以用戶身份獲得VPN訪問權限對系統進行入侵。

　　同時，隨著世界各地實行國家隔離，大多數用戶被困在家里，越來越多的用戶在家中瀏覽Internet時也會使用VPN應用程序繞過地理保護。這也就造成消費者級VPN的使用量也出現了快速激增，在這樣的環境下黑客會花費更多的時間來研究對VPN的攻擊。

　　對于預防黑客的VPN攻擊，Ramakrishna與Gartner的技術研究人員一起建議政府和企業組織應該考慮向VPN 添加軟件定義的外圍安全系統(SDP)，以便系統可以擴展其整體安全體系結構，以實現公司內部網絡可以直接到應用程序的訪問，以降低受到黑客攻擊的可能性。

　　E觀點

　　隨著越來越多公司和個人對VPN使用需求的快速增加，用戶在使用VPN時如何保護自身網絡安全成為了時下高度關注的問題之一。來自于安恒信息的應急響應專家Vexs Xu建議，對于VPN的安全使用，首先行業對VPN的管控要規范，遵循安全合規和最佳實踐，比如VPN用戶賬號的分配，密碼的強度等都要符合比較高的安全策略，限制這類高權限賬號的隨意創建，如果管理端口要向互聯網開發，要嚴格限制對其訪問的IP地址。與此同時，對VPN設備本身，用戶要注意廠商發布的安全更新補丁，如果有提示安全補丁更新，先備份好設備數據然后安裝安全更新補丁，建議定期巡檢設備，主動發現是否有安全更新補丁需要安裝。其次，對VPN設備進行操作審計，比如開啟設備日志記錄，并定期分析日志中是否有異常訪問或操作記錄，特別是對高權限的管理員用戶的操作記錄，如發現有異常要展開排查確保風險的解除。