VPN基础设施已成为网络犯罪分子和国家支持的攻击行为者的主要目标,这些系统中的漏洞犹如一扇扇大门,可能导致组织机构大面积遭受攻击。
即便在一些 VPN 关键漏洞被披露多年后,威胁行为者仍能借助它们以前所未有的规模窃取凭证并获取企业网络的管理控制权。
这种持续的利用表明,那些常被忽视的老旧安全漏洞仍是极为有效的攻击手段。
有两个特别令人担忧的漏洞继续困扰着全球的组织机构:CVE-2018-13379,这是Fortinet 的 FortiGate SSL VPN 设备中的路径遍历漏洞;以及 CVE-2022-40684,一个影响Fortinet FortiOS、FortiProxy 和 FortiManager 的身份验证绕过漏洞。
这两个漏洞在漏洞利用预测评分系统(EPSS)中的得分均高达惊人的 97%,跻身最有可能在未来 30 天内被利用的前 3% 的漏洞之列。
ReliaQuest 的研究人员发现,自 2018 年以来,网络犯罪论坛上与Fortinet VPN 相关的讨论量惊人地增长了 4223%,凸显出威胁行为者对利用这些漏洞的关注度日益提高。
研究团队还发现,64% 的 VPN 漏洞与勒索软件活动直接相关,这表明攻击者将窃取的凭证迅速变现的速度之快。
这些漏洞之所以持续受 “青睐”,源于它们的有效性以及各组织机构打补丁的速度缓慢。
CVE-2018-13379 尽管已存在近五年时间,但仍在美国家安全局网络安全和基础设施安全局(CISA)的常规被利用漏洞列表中,攻击者无需先进工具或专业知识,就能通过该漏洞直接获取明文凭证。
这些攻击手段尤为危险的原因在于其背后的自动化操作。威胁行为者正在分享复杂的、基于 Python 的工具,旨在大规模利用这些漏洞。如在一个网络犯罪论坛上分享的针对 CVE-2018-13379 的自动化概念验证代码所示。
自动化攻击改变威胁态势
2025 年 1 月,威胁行为者 Belsen_Group 利用 CVE-2022-40684 入侵了全球超过 15000 台 FortiGate 设备,这展示了 VPN 攻击的产业化趋势。
此次入侵暴露了敏感数据,包括来自政府和私营部门组织机构的 IP 地址、VPN 凭证以及配置文件。
该攻击代码每天能够扫描多达 500 万个 IP 地址,可自动创建管理账户、提取敏感数据并部署恶意策略,同时生成有条理的输出文件,详细记录成功的攻击和存在漏洞的服务器信息。
各组织机构必须优先修复这些漏洞,并实施网络分段、多因素身份验证以及持续监控,以保护其 VPN 基础设施免受这些日益复杂的攻击。
发表评论
您还未登录,请先登录。
登录