十大 VPN 漏洞必知必修

    在网络安全领域，VPN 安全已成为全球组织关注的重点。与 2022 年相比，2023 年发现的 VPN 漏洞数量惊人地增加了 47%  ，凸显了与这些重要工具相关的风险显著上升。

    VPN 是确保远程访问组织网络安全的基础，对于企业、政府机构和远程办公的个人来说，VPN 必不可少。VPN 提供加密通道来保护数据传输，确保敏感信息免受未经授权的访问。然而，越来越多的漏洞对 VPN 安全构成了严重威胁。

DALL-E 的有关 VPN 漏洞的 AI 图示

    VPN 实用程序中的漏洞特别危险，原因有几个。这些设备通常会暴露安全网络中的接入点，而且通常很少有入侵的证据，因此很难及时检测到入侵。利用这些漏洞的攻击者可以渗透 VPN，并花费数月时间绘制目标网络图，收集有价值的信息，并可能部署勒索软件或发起勒索企图。

    鉴于这些风险，组织必须优先考虑 VPN 安全。密切关注漏洞并确保定期更新和监控 VPN 系统，有助于缓解这些威胁并防止潜在的漏洞。

    在这篇博文中，我们将探讨2022 年至 2024 年上半年对网络安全格局产生重大影响的十大 VPN 漏洞。 我们还将列出有效的缓解策略来防范这些威胁。

VPN 漏洞增加 47%

    2023 年 VPN 漏洞数量激增，令人担忧。共报告了 133 个 VPN 漏洞，与  前两年的平均水平相比增长了47% 。这一激增凸显了 VPN 技术面临的威胁形势不断升级。

    根据 Top10VPN 的数据，2023 年 VPN 漏洞数量为 133 个，高于 2022 年的 93 个。根据 CISA 的数据，其中 7 个是已知被利用的漏洞，而去年为 9 个。受影响最严重的供应商包括 Zyxel、思科和 SoftEtherVPN，突显出针对知名 VPN 提供商的攻击趋势。

    这些漏洞的攻击媒介主要为网络攻击，占 70%  （93 起事件），其次是本地攻击（22%，29 起事件）和邻近网络攻击（8%，11 起事件）。在严重程度方面，值得注意的是，15 个漏洞被归类为严重（11%），而 75 个漏洞被归类为高严重程度（57%）。

 常见的 VPN 漏洞和攻击类型

    VPN 技术面临众多利用各种漏洞的威胁。被攻陷的 VPN 可作为更广泛网络渗透的切入点，使攻击者能够横向移动整个组织的系统。

    使用窃取的凭证，他们可以更改配置设置或访问内部基础设施。未经授权的 VPN 连接可以授予攻击者 root shell，从而对系统进行广泛的控制。

2023 年 VPN 漏洞类型 ( Top10VPN )

Top10VPN 在过去一年中发现的常见攻击类型包括：

• 代码执行和注入 – 27

• 拒绝服务 (DoS) 攻击 – 24

• 权限提升 – 13

• 信息披露和数据泄露 – 13

• 身份验证和授权问题 – 13

• 资源和内存问题 – 16

• 基于 Web 的攻击 – 11

• 配置和部署问题 – 8

• 遍历和操纵攻击 – 5

• 库和依赖项攻击 – 2

• 输入和数据验证问题 – 8

• 中间人攻击 – 5

• 暴力破解和 IDOR 攻击 – 3

• 凭证和访问攻击 – 2

• 逻辑和设计缺陷 – 2

• 会话和身份验证管理 – 1

• 访问控制问题 – 1

• 加密问题 – 1

这些攻击可能导致数据覆盖、恶意代码执行和系统中断。

    有效的缓解需要定期更新、全面监控和强大的身份验证机制，以保护 VPN 基础设施免受这些不断演变的威胁。

十大 VPN 漏洞是什么？

    以下是 2022 年至 2024 年上半年流行的十大 VPN 漏洞。这些漏洞没有按照特定顺序排列，而是基于其广泛认可度和 SOCRadar 漏洞风险评分 (SVRS) 进行选择的。

    SVRS 评分通过考虑社交媒体、新闻、代码存储库和暗网等来源来反映 CVE 的受欢迎程度。它还考虑了漏洞与威胁行为者或恶意软件活动的联系。

1. CVE-2024-24919（Check Point Quantum Gateway/Spark Gateway/CloudGuard Network 远程访问 VPN 中的信息泄露）

    该漏洞被标识为 CVE-2024-24919，其 CVSS 严重程度评分为 8.6，可能导致大量未经授权的信息泄露。

    该漏洞影响 Check Point Quantum 安全网关，影响其 VPN 功能，包括 IPSec VPN、远程访问 VPN 和移动访问。

CVE-2024-24919 漏洞卡

    在补丁发布之前，此零日漏洞就被积极利用。攻击者从 4 月 30 日开始利用 CVE-2024-24919，以 VPN 设备为目标窃取 Active Directory 凭据。这些凭据促进了网络内的横向移动，主要利用仅依赖密码验证的过时本地帐户。此类帐户特别容易受到攻击，不建议使用。

    CVE-2024-24919 也因影响 远程访问 VPN 技术的漏洞而引发关注，并进入此类别的漏洞列表。下面的时间线显示了影响许多其他产品的远程 VPN 漏洞，例如 Ivanti、Cisco、Fortinet、Palo Alto 和 Citrix 的产品。

远程访问 VPN 漏洞（Hackmageddon）

• 攻击者利用 Ivanti Connect Secure 零日漏洞部署 Webshell（CVE-2023-46805、CVE-2024-21887）

• Citrix Netscaler ADC 和网关中的零日漏洞：CVE-2023-6548、CVE-2023-6549

• Fortinet 发布 FortiOS SSL-VPN RCE 漏洞 CVE-2022-42475 补丁

• Fortinet 推出针对 SSL VPN 设备中严重 RCE 漏洞 (CVE-2023-27997) 的补丁

• Ivanti Connect Secure、Policy Secure 和 Neurons for ZTA 中的漏洞被利用 (CVE-2024-21893)

• FortiOS SSL VPN 中的 RCE，最新 Ivanti 漏洞可能被利用（CVE-2024-21762、CVE-2024-22024）

• Palo Alto GlobalProtect 网关中存在严重操作系统命令注入漏洞：CVE-2024-3400

• CISA KEV 中的新功能：Check Point VPN 零日漏洞 CVE-2024-24919

2. CVE-2024-21762（Fortinet FortiOS 7.4.2 及以上版本 SSL-VPN 中的越界写入）

    该漏洞被标记为 CVE-2024-21762，CVSS 评分为 9.6，是 FortiOS 中的一个越界写入问题。此漏洞允许未经身份验证的攻击者通过恶意制作的请求执行远程代码执行 ( RCE )。

CVE-2024-21762 漏洞卡

    漏洞披露后不久，美国网络安全和基础设施安全局 (CISA) 将 FortiOS 漏洞 CVE-2024-21762 添加到其已知被利用漏洞 (KEV) 目录中，并指出该漏洞存在主动利用。，CISA 还发布了指南，以减轻该威胁组织的影响。

3. CVE-2024-3400（Palo Alto Networks PAN-OS GlobalProtect 中的命令注入）

    该漏洞编号为 CVE-2024-3400，属于严重等级为 10的严重 OS 命令注入问题。该漏洞存在于 Palo Alto Networks PAN-OS 软件的 GlobalProtect 功能中，允许未经身份验证的攻击者在防火墙上以 root 权限执行任意代码。

    CVE-2024-3400 影响 PAN-OS 的特定版本，包括 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1。但是，Cloud NGFW、Panorama 设备和 Prisma Access 等产品不受此漏洞影响。

CVE-2024-3400 漏洞卡

    在披露此漏洞后，Palo Alto Networks 承认有少量攻击利用了该漏洞。详细分析揭示了攻击者的技巧和意图，这些攻击者被确定为受国家支持的威胁行为者 UTA0218。这些攻击者利用此漏洞启动反向 shell，从而下载恶意工具、窃取敏感配置数据并在受影响的网络内横向移动。

4. CVE-2023-27997（Fortinet FortiOS/FortiProxy FortiGate SSL-VPN 中的基于堆的溢出）

    漏洞编号为 CVE-2023-27997， 是一个影响 Fortinet FortiOS 和 FortiProxy SSL VPN 产品的严重堆溢出问题。此漏洞存在重大风险，允许预认证远程代码执行 (RCE) 攻击。

    Fortinet 发布了固件更新，以解决其 SSL VPN 产品中未公开的漏洞。尽管发布说明中没有明确提及该漏洞，但安全专家和管理员推断更新已悄悄修复了该漏洞。

CVE-2023-27997 漏洞卡

    据法国网络安全公司 Olympe Cyberdefense 称，即使启用了多因素身份验证 ( MFA ) ，RCE 漏洞也可能允许威胁行为者干扰 VPN 。该公司表示，所有版本都可能受到影响，有待 2023 年 6 月 13 日发布 CVE 详细信息确认。

    Fortinet 设备是最受欢迎的防火墙和 VPN 产品之一，已成为攻击者的诱人目标。近年来， 网络威胁领域对Fortinet 漏洞的关注度不断提高。

5. CVE-2022-42475（FortiOS FortiOS SSL-VPN/FortiProxy SSL-VPN 请求中的基于堆的溢出）

    CVE-2022-42475 是一个影响 Fortinet 的 FortiOS 和 FortiProxy 技术的严重堆溢出漏洞。它允许未经身份验证的攻击者在易受攻击的系统上执行任意代码。

    Fortinet 于 2022 年 11 月修补了此漏洞，并于 12 月公开，敦促用户更新其设备，以防威胁行为者积极利用该漏洞。

CVE-2022-42475 漏洞卡

    研究人员后来发现了一种名为BoldMove的复杂恶意软件 ，该恶意软件旨在利用 Fortinet 的 FortiGate 防火墙。

    BoldMove 恶意软件与 2023 年 1 月 CVE-2022-42475 的利用有关，凸显了该安全漏洞的严重性和影响。

6. CVE-2023-46805 和 CVE-2024-21887（Ivanti Connect Secure/Policy Secure Web 中的不当身份验证和命令注入）

    CVE-2023-46805 与 CVE-2024-21887 漏洞都是 零日漏洞 ，对 Ivanti Connect Secure VPN 设备构成重大风险。

    CVE-2023-46805 的 CVSS 评分为 8.2，可让攻击者绕过身份验证检查并访问受限资源。CVE-2024-21887 被评为严重漏洞，CVSS 评分为 9.1，是一个命令注入漏洞，可让经过身份验证的管理员通过精心设计的请求执行任意命令。

CVE-2023-46805 漏洞卡

CVE-2023-21887 漏洞卡

    2023 年 12 月，研究人员发现涉及这些漏洞的可疑活动。攻击者利用这些漏洞在内部和外部 Web 服务器上部署 Webshell，从而对受影响的系统进行未经授权的访问和控制。

    该利用链允许攻击者窃取配置数据、修改文件和下载远程文件，从而实现大规模网络入侵。

    Ivanti 发布了针对这些漏洞的缓解措施，并计划分阶段发布补丁。CISA 迅速将这些漏洞添加到其已知利用漏洞 (KEV) 目录中，强调联邦机构必须在 2024 年 1 月 31 日之前修补漏洞。

7. CVE-2023-28771（Zyxel USG/USG FLEX/VPN/ATP 错误消息 OS 命令注入）

    2023 年年中，攻击者开始利用 Zyxel 防火墙中的一个严重漏洞，该漏洞被标识为 CVE-2023-28771。此漏洞的 CVSS 评分为 9.8，允许未经授权的攻击者通过未经身份验证的命令注入执行远程代码。该漏洞位于 多台 Zyxel 设备的 WAN 接口上 UDP 端口 500 上的Internet 密钥交换 (IKE) 数据包解码器中。

    受影响的设备包括各种版本的ATP、USG FLEX、VPN和ZyWALL/USG防火墙。攻击者可以通过向目标设备发送特制的数据包来利用此漏洞，从而以root权限执行任意代码。

CVE-2023-28771 漏洞卡

    Fortinet 研究人员发现与此漏洞相关的僵尸网络活动显著增加，包括 Dark.IoT、Rapperbot 和 Katana 僵尸网络等变种。这些僵尸网络利用命令注入漏洞入侵系统并进行恶意活动，例如分布式拒绝服务 ( DDoS ) 攻击。

    网络安全和基础设施安全局 (CISA) 已将 CVE-2023-28771 列入其已知利用漏洞 (KEV) 目录，敦促各组织立即应用必要的补丁。

8. CVE-2023-20073（Cisco RV340/RV340W/RV345/RV345P 中的无限制上传）

    CVE-2023-20073 是思科各种 VPN 路由器的基于 Web 的管理界面中的一个严重漏洞，由于授权执行不足，该漏洞允许未经身份验证的远程攻击者上传任意文件。

    利用此漏洞可能会损害受影响设备的完整性，造成重大安全威胁。

CVE-2023-20073 漏洞卡

9. CVE-2023-46850（OpenVPN/OpenVPN 访问服务器中的 Use After Free）

    CVE-2023-46850 是一个严重的“释放后使用”内存漏洞。该漏洞出现在 OpenVPN 2.6.0 至 2.6.6 版本中，应用程序在释放发送缓冲区后错误地使用它。

    此问题可能导致未定义的行为，使攻击者能够从服务器内存中泄露敏感信息或通过将网络缓冲区发送到远程对等方来执行远程代码。使用 TLS 的配置特别容易受到此攻击，对受影响的服务器构成重大风险。

CVE-2023-46850 漏洞卡

    另一个使用 CVE-2023-46849 修补的安全漏洞是 CVE-2023-46849。这是一个除以零崩溃漏洞。当在特定配置中启用 –fragment 选项时，它会影响 OpenVPN 版本 2.6.0 至 2.6.6，导致拒绝服务 (DoS) 条件并可能泄露敏感数据。

10. CVE-2022-43931（Synology VPN Plus Server 远程桌面中的越界写入）

    Synology 中的这个严重漏洞 CVE-2022-43931会影响其配置为 VPN 服务器的路由器产品，可能允许远程访问存储的资源。

    Synology 产品安全事件响应团队 (PSIRT) 发现，CVE-2022-43931 是 VPN Plus Server 远程桌面功能中的一个越界写入问题。

CVE-2022-43931 漏洞卡

    如果成功利用此安全漏洞，远程攻击者可以在易受攻击的 Synology VPN Plus Server 版本上执行任意命令。

如何保护您的 VPN？

    确保 VPN 安全对于保护敏感数据和维护网络完整性至关重要。NSA 提供了维护安全 VPN 环境的具体建议，网络管理员应定期实施这些建议：

• 减少 VPN 网关攻击面：尽量减少暴露的 VPN 网关数量并确保它们的安全配置。

• 验证加密算法：确保加密算法符合国家安全系统政策委员会 (CNSSP)。

• 避免使用默认 VPN 设置：默认设置很容易被利用。自定义设置以增强安全性。

• 删除未使用或不合规的加密套件：删除任何未使用或不符合安全标准的加密套件。

• 应用供应商提供的更新：定期应用 VPN 供应商提供的补丁和更新来修复漏洞。

此外，请考虑以下做法来进一步保护您的 VPN：

• 搜索未经授权的更改：定期检查所有配置选项是否存在未经授权的更改。这包括检查 SSH 的授权密钥文件、新的 IPtables 规则和客户端上的命令。

• 监控 VPN 日志和网络流量：密切关注 VPN 日志和网络流量。特别注意来自不寻常 IP 地址的连接，尤其是那些成功连接或长数据传输的连接。

• 必要时擦除设备：如果您怀疑存在漏洞但找不到更改的证据，请考虑擦除设备并按照制造商的指导进行重新配置。

• 启用双因素身份验证 (2FA)：启用 2FA 保护您的 VPN 免受密码重放攻击。

• 禁用不必要的功能和端口：关闭任何不需要或正在使用的功能和端口，以减少潜在的攻击面。

为了保持强大的安全态势，请始终注意以下最佳做法：

• 定期审核：对您的 VPN 配置和使用情况进行定期安全审核。

• 用户培训：向用户介绍 VPN 安全和安全实践的重要性。

• 事件响应计划：制定并维护专门针对 VPN 相关违规行为的事件响应计划。

• 多层安全：实施多层安全方法，包括防火墙、入侵检测系统和端点保护，并结合 VPN 安全措施。

• 持续监控：利用先进的监控工具持续分析 VPN 流量并实时检测异常。

通过遵循这些步骤和建议，组织可以显著降低 VPN 漏洞的风险并保护其网络免受潜在攻击。

结论

    VPN 漏洞的增加凸显了不断升级的威胁形势——仅 2023 年就报告了133 个 VPN 漏洞 ，比前两年增加了 47%。这些漏洞带来了巨大的风险，因为攻击者可以利用它们渗透网络、窃取数据并部署恶意软件。

    我们对十大 VPN 漏洞的探索强调了保持警惕和主动解决这些安全漏洞的重要性。

    我们在本文中提到的漏洞影响了 Check Point、Fortinet、Zyxel 和 Palo Alto Networks 等公司的产品，这些只是需要立即关注的严重问题的几个例子。

    有效的缓解措施需要多管齐下的方法，包括应用供应商提供的补丁、持续监控异常活动以及实施强有力的身份验证实践。

原文始发于微信公众号（OSINT研习社）：HW前：十大 VPN 漏洞必知必修