VPN成黑客攻击突破口，更多设备面临着漏洞攻击风险

（文章来源：首席安全官）

近日，国内安全公司发布报告称，国家级APT组织DarkHotel，利用深信服VPN软件的零日安全漏洞，入侵多家中国政府相关单位及驻外机构。据透露，超过 200多台VPN服务器被攻击组织入侵。

4月7日中午，深信服（300454,SZ）发布公告确认了这一消息，称经其分析发现，该事件的始作俑者为某黑客组织。在获悉漏洞信息后，该公司已按照应急响应流程第一时间成立应急事件处理小组，对该事件进行彻底排查。自从冠状病毒（COVID-19）爆发以来，由于远程办公的必要需求，企业VPN使用量增加了33％，利用VPN漏洞发动攻击，成为黑客入侵政企机构、布局全球网络态势的流行手段。

VPN（即虚拟专用网络，Virtual Private Network）：在公用网络上建立专用网络，通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN在企业、政府机构远程办公中起着举足轻重的地位。这意味着，一旦VPN漏洞被黑客利用攻击，将面临巨大威胁。

2020年2月，以色列网络安全公司ClearSky发布报告，重磅爆出伊朗“Fox Kitten”的网络间谍计划——利用未修补的VPN漏洞作为切入点，向全球政府和企业植入后门，引发安全界广泛热议。

根据该报告，伊朗攻击组织利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企业VPN产品漏洞，入侵大型公司并在其中植入后门。2019年伊朗黑客组织快速武器化如下多个 VPN 漏洞：Pulse Secure“Connect” VPN (CVE-2019-11510) 、ForTInet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

在新冠疫情全球范围爆发，高度密切关注利用VPN漏洞发动的网络攻击显得尤为重要。早在2019年，大量 VPN 服务器就被曝出重大漏洞，加剧了VPN网络安全态势的风险。

其中，2019年4月，卡内基梅隆大学CERT/CC称，至少四款企业VPN应用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN应用。这四款应用被证实以非加密形式将认证和/或会话cookie存储在计算机内存或日志文件中。

2019年7月，Palo Alto GlobalProtect SSL VPN高危漏洞被公开，在/sslmgr位置存在格式化字符串漏洞，攻击者可利用漏洞实现远程代码执行。受影响版本包括：PaloAlto GlobalProtect SSL VPN 7.1.x