聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Check Point 公司的总裁办主任 Gil Messing 提到,“截止到5月24日,我们发现了三起类似尝试。我们的特别团队进一步分析发现了我们认为可能的一种重复模式。虽然全球仅发现几起尝试,但足以表明一种趋势,而且更重要的是它是攻击失败的直接原因。”
远程访问VPN和多数人习惯的VPN存在一些差别。普通的VPN通过共享服务器将个人的互联网流量路由来隐藏互联网活动;而远程访问VPN的目的是让特定个体以安全的方式访问特定网络。例如,远程访问VPN可供远程员工访问受雇公司的内部资源。
同时,远程VPN也可用于恶意目的。例如,黑客不必利用公开服务器或0day漏洞,就可通过远程访问VPN获得对组织机构IT环境的干净、不受限制的访问权限。之后,黑客就可开始设立可持久性,如查找漏洞等等。然而,他们是怎么获得对VPN连接的访问权限的?最简单的方式就是通过保护不足的账户。Check Point 公司发现,攻击者尝试利用老旧的仅通过一个密码保护的老旧账户。
为了保护用户账户,除了监控或者禁用远程访问VPN,Check Point 公司建议组织机构除了要求简单的密码之外,还要开展认证检查。
Sectigo 公司的高级产品副总裁 Jason Soroko 也持有同样观点,他提到,“用户名和密码认证未达基础安全的门槛,尤其是在当下存在更强大的认证方式。除了不安全和效率低下外,密码对于很多现代企业用例而言越发不适用。”他提到,当用户的用户名和密码是默认的从而导致密码猜测易如反掌时更是如此。
他提到,“当下很多企业应用都支持基于证书的认证而非密码认证,因为前者基于不可能的或者说几乎不可能被猜测的非共享密钥。用户体验非常流畅,因为一旦用户被提供了数字化证书,除了初始化认证流程外无需其它工作。认证握手发生后,VPN服务器可确认被认证者的身份。而用户名和密码认证则无法给出这种保证。”
另外一些人的意见更进一步。ColorTokens 公司的领域首席技术官 Venky Raju 表示,“它提醒组织机构应指定紧急计划,从遗留的VPN转换到零信任网络访问权限 (ZTNA) 解决方案。”他认为最近Ivanti VPN 事件说明了VPN 天生容易被攻陷之处。他指出,“ZTNA 解决方案相比VPN存在多个优势,其中最主要的是ZTNA会通过最低权限原则限制终端用户可访问的内容。另外,ZTNA解决方案与企业的身份管理系统的集成更好,减少了受陷密码或配置不当带来的风险。”
他表示,除此以外,“组织机构应当通过厂商的文档和安全公告,删除不必要或不使用的特性,执行强劲认证,审计所有现有的默认账户并设立打补丁流程。”
速修复!Buffalo VR-S1000 VPN 路由器中存在多个漏洞
Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞
https://www.darkreading.com/threat-intelligence/attackers-target-check-point-vpns-access-corporate-networks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~