尚未安装最新版本的Pulse Secure VPN的组织有充分的理由停止抖动-这是一种代码执行漏洞,允许攻击者控制使用该产品的网络。
跟踪名称为CVE-2020-8218的该漏洞要求攻击者拥有运行VPN的计算机的管理权限。发现该漏洞的GoSecure公司的研究人员找到了一个简单的方法来清除这个障碍:诱骗管理员点击嵌入在电子邮件或其他类型的消息中的恶意链接。
GoSecure研究员让-弗雷德里克·高隆(Jean-Frédéric Gauron)在一篇帖子中提到了这一漏洞,他写道:“虽然它确实需要进行身份验证,但它可以通过对合适的受害者进行简单的网络钓鱼攻击来触发,这一事实应该是足够的证据,表明这个漏洞不容忽视。”
尽管网络钓鱼攻击由来已久,但它们是最有效的方式之一,不仅可以破坏消费者的防御,还可以破坏财富500强和政府机构的防御。考虑到新冠肺炎大流行造成的目前在家工作的养生方式,赌注甚至更高。
上个月,攻击者利用从社交媒体网站窃取的详细个人信息,诱使远程员工将凭证输入虚假页面,从而控制了Twitter的内部系统。据Krebson Security报道,美国联邦调查局(FBI)和网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency)最近警告称,类似的攻击正在全国各地上演。
VPN是虚拟专用网络(Virtual Private Network)的缩写,它允许公司对连接到网络的员工进行加密身份验证,并对所有通信进行加密。在过去的18个月里,VPN已经成为黑客穿透严密保护的网络边界的关键口子。
去年,Revil勒索软件背后的攻击者获得了货币兑换Travelex网络的访问权限,最有可能的原因是管理员没有打补丁的一个或多个严重的Pulse安全漏洞。这次黑客攻击发生在补丁发布八个月后,而在警告发布四个月后,警告称,该漏洞正在尚未打补丁的计算机上被积极利用。对于Travelex来说,这是一个代价高昂的疏忽。据BBC报道,攻击者要求600万美元来恢复公司的数据。
今年早些时候,一系列野外攻击利用了Citrix VPN系统中的零日漏洞,直到该公司设法修补了这些漏洞。
在周三发布的一篇帖子中,Gauron表示,CVE-2020-8218是Pulse安全VPN中发现的四个漏洞之一。该公司在6月中旬报告了这些情况,Pulse Secure在四周前推出了一个补丁。
公司研究人员朱利安·皮诺(Julien Pineault)在一封电子邮件中表示,GoSecure代表一名客户发现了这些漏洞,该客户希望测试其新部署的Pulse Secure VPN是否容易受到任何现有攻击。在发现命令注入漏洞后,他们研究了研究员Orange Tsai的这篇帖子,以寻找如何绕过Pulse Secure开发人员已经实施的安全措施的线索。
与客户的接触并不允许GoSecure真正闯入网络。然而,他们能够证实这样的攻击在实验室环境中是可能的。
皮诺说,CVE-2020-8218是他的公司发现的四个漏洞中最严重的。他说,一旦Pulse Secure修复了其他漏洞,GoSecure计划提供有关这些漏洞的细节。
CVE-2020-8218已在Pulse Connect版本9.1R8中修复。由于该行业在修补方面的记录不佳,再加上可能导致的严重后果,因此值得对此进行检查。