目前,黑客在继续加大对网络安全设备和远程访问服务的攻击力度,以此作为破坏客户环境的手段。
思科 Talos 研究团队在一篇博文中表示,他们正在监测针对 VPN 服务等目标的“全球暴力攻击的增加”。与此同时,一家进攻性安全公司发布了针对最近披露的最严重漏洞的利用,该漏洞影响 Palo Alto Networks PAN-OS 防火墙软件的多个版本。
Rapid7 漏洞研究和情报总监凯特琳·康登 (Caitlin Condon) 在接受采访时表示,鉴于网络安全产品的首要地位,毫无疑问“它们是各种攻击者的重要目标”。
以下是关于最新的主要防火墙和VPN攻击需要了解的五个关键事项。
1.泛操作系统漏洞发布
周五,Palo Alto Networks披露了一个影响 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 版本防火墙软件的严重漏洞。
值得注意的是,该公司表示,该零日漏洞在披露时已被利用。该供应商的公告继续表示,截至周二下午,仅观察到利用该漏洞的“有限数量的攻击”。
Palo Alto Networks 周一发布了第一个补丁来解决该漏洞。该供应商表示,该漏洞(跟踪号为 CVE-2024-3400)已被判定为“严重”问题,最高严重等级为 10.0(满分 10.0)。
周二,攻击性安全公司 watchTowr Labs 发布了概念验证漏洞利用代码,根据一篇博客文章,该代码“最终作为 shell 命令在易受攻击的 Palo Alto Networks 防火墙上执行” 。
2.强有力的应对措施
Rapid7 的 Condon 告诉我们,Palo Alto Networks 在发现关键漏洞后迅速做出了反应,并开放共享信息。
该问题是由网络安全公司 Volexity 的研究人员发现的,该公司还发现了利用该漏洞的证据。
作为回应,Palo Alto Networks 的建议“甚至在补丁完全可用之前就对这些信息进行了透明处理”,康登说。
她指出,该公司提供了与漏洞披露相关的缓解措施,其信息本质上是“‘现在就采取缓解措施,我们会尽快为您提供补丁。’”
康登说,帕洛阿尔托网络公司也在周日发布了第一组补丁。 “显然,他们整个周末都在努力实现这一目标,”她说。
3.VPN攻击活动
在周二的另一份披露中,思科 Talos 的研究人员对过去一个月观察到的一波攻击发出警告,其中包括针对广泛使用的 VPN 服务的攻击。
据 Talos 研究团队称,这些攻击主要集中在“暴力”密码猜测策略上,还针对 SSH(安全外壳)服务以及 Web 应用程序的身份验证接口。
网络攻击活动“至少”从 3 月 18 日起就一直在持续。研究人员在一份报告中写道:“根据目标环境,此类成功的攻击可能会导致未经授权的网络访问、帐户锁定或拒绝服务情况。”邮政。 “与这些攻击相关的流量随着时间的推移而增加,并且可能会继续增加。”
4.受影响的服务
Talos 研究人员列出了攻击活动中的一些“已知受影响的服务”。据 Talos 称,这些服务包括思科的安全防火墙 VPN 产品以及 Check Point、Fortinet、SonicWall 和 Ubiquiti 的 VPN 服务。
研究人员写道:“然而,其他服务可能会受到这些攻击的影响。”
现已联系思科、Check Point、Fortinet、SonicWall 和 Ubiquiti 征求意见。
5.风险增加
Zscaler 首席安全官兼安全工程和研究高级副总裁 Deepen Desai 表示,针对防火墙设备和 VPN 服务的攻击的更大背景是“这些设备是几十年前制造的”。
“无论是 VPN 还是防火墙,它都确实达到了其目的,”Desai 告诉我们。然而,“当时的威胁形势完全不同,”他说。
德赛说,特别是当涉及到防火墙中的零日漏洞时,今天的影响可能是“巨大的”。 “威胁行为者不需要钥匙就能进入你的房子,并且能够在房子里做任何事情。一切都触手可及。”