首页 > 经济 > > 正文
2019-12-01 14:54:10

中国的APT正在追逐Pulse Secure和Fortinet VPN服务器

在有关这两种产品的安全漏洞的详细信息于上个月公开之后,一群中国政府资助的黑客正在将Fortinet和Pulse Secure的企业VPN服务器作为攻击目标。

ZDNet从熟悉攻击的消息来源获悉,这些攻击是由一个称为APT5(也称为锰)的组织实施的。

根据FireEye的报告,APT5自2007年以来一直活跃,并且“似乎是一个由几个子组组成的大型威胁组,通常具有不同的战术和基础结构。”

FireEye表示,该组织已将目标锁定或破坏了多个行业的组织,但该组织的重点似乎主要集中在电信和技术公司,并对卫星通讯公司特别感兴趣。

APT5攻击从上个月开始

从8月下旬开始,规模较大的APT5总体小组的一个子小组似乎已经建立了基础架构,通过它们他们开始进行Internet扫描以搜索Fortinet和Pulse Secure VPN服务器。

APT5是第一个开始扫描Internet,然后尝试利用这两个VPN服务器产品中的两个漏洞的公司。

关于这两个漏洞的详细信息已于两周前在拉斯维加斯举行的Black Hat USA安全会议上进行了介绍。

这两个漏洞(Fortinet的CVE-2018-13379和Pulse Secure的CVE-2019-11510)都是所谓的“预身份验证文件读取”,攻击者可以利用该漏洞从VPN服务器检索文件而无需进行身份验证。

APT5和其他威胁组正在利用这两个漏洞从受影响的产品中窃取存储密码信息或VPN会话数据的文件。这些文件将使攻击者可以接管易受攻击的设备。

观察到APT5攻击的消息人士说,他们无法确定该组织是否成功突破了设备。

目标VPN服务器是高端产品

Fortinet的Fortigate SSL VPN和Pulse Secure的SSL VPN产品都非常受欢迎。例如,Fortinet的Fortigate VPN是绝对的市场领导者,在全球范围内有超过480,000台Fortigate SSL VPN服务器。

另一方面,Pulse Secure的SSL VPN被认为是SSL VPN市场上最高端的产品,安装该产品是为了保护许多财富500强公司,互联网最大的科技公司和政府机构对内部网络的访问。

根据威胁情报公司Bad Packets LLC的数据,大约有42,000个Pulse Secure VPN服务器在线可用。

许多公司未能修补

Fortinet和Pulse Secure漏洞都是在今年早些时候由一家名为Devcore的公司的安全研究人员发现的。

该问题被报告给在三月份两家供应商,并通过最紧迫两家厂商修补,Devcore在描述这两个问题【二的博客文章说,1,2 ]。Pulse Secure 在4月发布了补丁,Fortinet 在5月发布了自己的补丁。

但是,这两个SSL VPN服务器的所有者似乎未能安装这些修补程序。不这样做的原因各不相同。

一方面,有很多Fortinet客户在社交媒体上报道说,他们甚至不知道Fortigate VPN有可用的安全修复程序,更不用说他们必须修补了。

该公司没有返回本周初发送的置评请求,以寻求更多信息。但是,Fortinet 于8月28 日前几天发布了一篇博客,将其5月补丁的问题再次引起了网站读者的关注。

PULSE SECURE警告并联系客户

另一方面,Pulse Secure在通知客户方面更加活跃,但这并不意味着客户听从了公司的建议。

8月中旬的一次扫描发现,在42,000台Pulse Secure SSL VPN服务器中,有近14,500台仍在运行易受攻击的版本。上周进行的第二次扫描发现,这个数字几乎没有下降,达到10,500。

但是,这里的责任似乎并没有归咎于Pulse Secure。

“我们不仅发布了公共安全公告-SA44101,而且从4月的那天开始,我们通过电子邮件,产品内警报,在我们的社区网站上积极告知我们的客户,合作伙伴和服务提供商该补丁的可用性和需求,在我们的合作伙伴门户和我们的客户支持网站中,” Pulse Secure的首席营销官Scott Gordon在一封电子邮件中告诉ZDNet,描述了该公司为通知客户所做的努力。

他补充说:“我们的客户成功经理也一直在直接与客户联系并与他们合作。” “此外,Pulse Secure支持工程师已经全天候(包括周末和节假日)提供24x7的服务,以帮助需要帮助的客户应用补丁程序修复程序。

戈登说:“即使他们没有签订有效的维护合同,我们也为客户提供了修补程序的修补程序。”

“仍需要帮助的客户应使用以下URL上的联系信息联系Pulse Secure支持:https : //support.pulsesecure.net/support/support-contacts/ ”

Gordon表示,这些努力取得了丰硕的成果,因为该公司的大多数客户已于8月下旬成功应用了该补丁。

但是,并非所有客户都听取了公司的建议,这些组织可能最终会付出更高的代价。

中国的APT(先进的威胁组织)不仅出于情报搜集或政治网络间谍的目的而侵入外国目标(公司,政府组织,大学)。他们还窃取了知识产权,而知识产权却多次流失到中国竞争对手手中,多年来,这以许多人意想不到的方式伤害了被黑的公司。

相关推荐