VPN基礎設施已成為網絡犯罪分子和國家支持行為者的主要目標,這些系統中的漏洞成為了廣泛組織攻擊的入口。即使在公開多年后,關鍵的VPN漏洞仍然使威脅行為者能夠以前所未有的規模竊取憑證并獲得對企業網絡的管理控制權。
VPN漏洞的持久威脅
盡管一些VPN漏洞已被公開多年,但它們仍然是高效攻擊向量。兩個特別值得關注的漏洞持續威脅全球組織:CVE-2018-13379,即Fortinet的FortiGate SSL VPN設備中的路徑遍歷漏洞;以及CVE-2022-40684,即影響Fortinet FortiOS、FortiProxy和FortiManager的身份驗證繞過漏洞。
這兩個漏洞的**Exploit Prediction Scoring System(EPSS)**評分高達97%,位列未來30天內最可能被利用的漏洞前3%。ReliaQuest的研究人員發現,自2018年以來,與Fortinet VPN相關的網絡犯罪論壇討論量激增了4,223%,這表明威脅行為者對這些漏洞的利用興趣顯著增加。
此外,研究人員還發現,64%的VPN漏洞與勒索軟件攻擊直接相關,展示了攻擊者如何迅速將竊取的憑證變現。這些漏洞的持久流行源于其有效性和組織修補速度的緩慢。
自動化工具的興起
由于自動化工具的興起,這些漏洞變得尤為危險。威脅行為者分享了復雜的、基于Python的工具,旨在大規模利用這些漏洞。例如,下圖展示了網絡犯罪論壇上分享的針對CVE-2018-13379的自動化PoC(概念驗證)工具。
VPN漏洞的工業化利用
VPN漏洞的工業化利用在2025年1月得到了充分體現,當時威脅行為者Belsen_Group利用CVE-2022-40684漏洞,成功攻擊了全球超過15,000臺FortiGate設備。這一攻擊暴露了來自政府和私營部門的敏感數據,包括IP地址、VPN憑證和配置文件。
該漏洞利用代碼能夠每天掃描多達500萬個IP地址,自動創建管理員賬戶、提取敏感數據并部署惡意策略,同時生成詳細的輸出文件,記錄成功的攻擊和易受攻擊的服務器。
防御措施建議
面對這些日益復雜的攻擊,組織必須優先修補這些漏洞,并采取以下措施保護其VPN基礎設施:
- 網絡分段:將網絡劃分為多個獨立區域,限制攻擊者的活動范圍。
- 多因素身份驗證:增加額外的身份驗證層,減少憑證被竊取的風險。
- 持續監控:實時監控網絡活動,及時發現和響應潛在威脅。
通過采取這些防御措施,組織可以有效降低VPN漏洞帶來的風險,保護其網絡免受攻擊。