的APT正在推出Pulse Secure和Fortinet VPN服務(wù)器

一組贊助的黑客正在瞄準(zhǔn)Fortinet和Pulse Secure的企業(yè)VPN服務(wù)器，因?yàn)檫@兩個(gè)產(chǎn)品的安全漏洞的細(xì)節(jié)在上個(gè)月成為公眾知識(shí)。

ZDNet從熟悉這些攻擊的消息來(lái)源獲悉，這些攻擊是由一個(gè)名為APT5(也稱為錳)的團(tuán)體進(jìn)行的。

根據(jù)FireEye報(bào)告，APT5自2007年以來(lái)一直活躍，“似乎是一個(gè)由幾個(gè)小組組成的大型威脅組織，通常具有不同的戰(zhàn)術(shù)和基礎(chǔ)設(shè)施。”

FireEye表示，該集團(tuán)已針對(duì)或突破多個(gè)行業(yè)的組織，但其重點(diǎn)主要集中在電信和技術(shù)公司，并對(duì)衛(wèi)星通信公司特別感興趣。

APT5襲擊于上個(gè)月開(kāi)始

從8月下旬開(kāi)始，較大的APT5傘組的一個(gè)小組似乎已經(jīng)建立了基礎(chǔ)設(shè)施，通過(guò)這些基礎(chǔ)設(shè)施，他們開(kāi)始進(jìn)行互聯(lián)網(wǎng)掃描，以搜索Fortinet和Pulse Secure VPN服務(wù)器。

APT5是第一批開(kāi)始掃描互聯(lián)網(wǎng)，然后嘗試?yán)脙蓚€(gè)VPN服務(wù)器產(chǎn)品中的兩個(gè)漏洞的人之一。

兩周前，在拉斯維加斯舉行的黑帽安全會(huì)議上，提出了有關(guān)這兩個(gè)漏洞的詳細(xì)信息。

這兩個(gè)漏洞(Fortinet的CVE-2018-13379和Pulse Secure的CVE-2019-11510)都是所謂的“pre-auth文件讀取”，它允許攻擊者從VPN服務(wù)器檢索文件而無(wú)需進(jìn)行身份驗(yàn)證。

APT5和其他威脅組正在使用這兩個(gè)漏洞來(lái)竊取存儲(chǔ)密碼信息或受影響產(chǎn)品的VPN會(huì)話數(shù)據(jù)的文件。這些文件可以讓攻擊者接管易受攻擊的設(shè)備。

觀察到APT5襲擊事件的消息人士稱，他們無(wú)法確定該組是否成功破壞了這些設(shè)備。

目標(biāo)VPN服務(wù)器是高端產(chǎn)品

Fortinet的Fortigate SSL VPN和Pulse Secure的SSL VPN產(chǎn)品都非常受歡迎。例如，F(xiàn)ortinet的Fortigate VPN是絕對(duì)的市場(chǎng)領(lǐng)導(dǎo)者，在全球運(yùn)營(yíng)著超過(guò)480,000個(gè)Fortigate SSL VPN服務(wù)器。

另一方面，Pulse Secure的SSL VPN被認(rèn)為是SSL VPN市場(chǎng)上最高端的產(chǎn)品，用于保護(hù)許多財(cái)富500強(qiáng)企業(yè)，互聯(lián)網(wǎng)上最大的科技公司和政府機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。

根據(jù)威脅情報(bào)公司Bad Packets LLC的數(shù)據(jù)，在線提供大約42,000個(gè)Pulse Secure VPN服務(wù)器。

許多公司未能修補(bǔ)

今年早些時(shí)候，一家名為Devcore的公司的安全研究人員發(fā)現(xiàn)了Fortinet和Pulse Secure漏洞。

該問(wèn)題被報(bào)告給在三月份兩家供應(yīng)商，并通過(guò)最緊迫兩家廠商修補(bǔ)，Devcore在描述這兩個(gè)問(wèn)題。Pulse Secure 在4月發(fā)布了一個(gè)補(bǔ)丁，F(xiàn)ortinet 在5月發(fā)布了自己的補(bǔ)丁。

但是，這兩個(gè)SSL VPN服務(wù)器的所有者似乎無(wú)法安裝這些修補(bǔ)程序。不這樣做的原因各不相同。

一方面，有許多Fortinet客戶在社交媒體上報(bào)道他們甚至不知道Fortigate VPN有可用的安全修復(fù)程序，更不用說(shuō)他們必須修補(bǔ)了。

該公司本周早些時(shí)候未發(fā)回評(píng)論請(qǐng)求，尋求更多信息。然而，F(xiàn)ortinet 在8月28 日前幾天發(fā)布了一篇博客文章，將其5月補(bǔ)丁的問(wèn)題再次引入其網(wǎng)站讀者的注意。

PULSE SECURE警告并聯(lián)系客戶

另一方面，Pulse Secure在通知客戶方面更加積極，但這并不意味著客戶聽(tīng)從了公司的建議。

8月中旬的一次掃描發(fā)現(xiàn)，42,000個(gè)Pulse Secure SSL VPN服務(wù)器中仍有近14,500個(gè)仍在運(yùn)行易受攻擊的版本。上周進(jìn)行的第二次掃描發(fā)現(xiàn)，這個(gè)數(shù)字幾乎沒(méi)有下降，達(dá)到10,500。

但這里的責(zé)任似乎并不在于Pulse Secure。

“我們不僅發(fā)布了公共安全咨詢 - SA44101，但從4月的那天開(kāi)始，我們通過(guò)電子郵件，產(chǎn)品內(nèi)警報(bào)，在我們的社區(qū)網(wǎng)站上積極通知我們的客戶，合作伙伴和服務(wù)提供商有關(guān)補(bǔ)丁的可用性和需求，在我們的合作伙伴門戶網(wǎng)站和我們的客戶支持網(wǎng)站上，“Pulse Secure的首席營(yíng)銷官Scott Gordon在一封電子郵件中告訴ZDNet，描述了該公司通知客戶的努力。

“我們的客戶成功經(jīng)理也直接與客戶聯(lián)系和合作，”他補(bǔ)充說(shuō)。“此外，Pulse Secure支持工程師全天候可用，包括周末和假期，以幫助需要幫助的客戶應(yīng)用補(bǔ)丁修復(fù)程序。

“我們還向客戶提供幫助，即使他們沒(méi)有遵守有效的維護(hù)合同，也可以為這些漏洞應(yīng)用修補(bǔ)程序，”戈登說(shuō)。

“仍需要幫助的客戶應(yīng)使用以下URL上的聯(lián)系信息聯(lián)系Pulse Secure支持：https：//support.pulsesecure.net/support/support-contacts/ ”

戈登表示，這些努力取得了豐碩成果，因?yàn)樵摴镜拇蠖鄶?shù)客戶已經(jīng)在8月底成功應(yīng)用了該補(bǔ)丁。

盡管如此，并非所有客戶都聽(tīng)從了公司的建議，而這些組織最終可能會(huì)在未來(lái)的路上付出更高的代價(jià)。

的APT(高級(jí)威脅組織)不僅僅是為了收集情報(bào)或政治網(wǎng)絡(luò)而侵入外國(guó)目標(biāo)(公司，政府組織，大學(xué))。他們還竊取了知識(shí)產(chǎn)權(quán)，這些知識(shí)產(chǎn)權(quán)多次落入競(jìng)爭(zhēng)對(duì)手的手中，在未來(lái)幾年以許多人沒(méi)想到的方式傷害被黑客入侵的公司。