CISA警告針對遠端工作的主要漏洞

當駭客將遠端工作相關漏洞當作目標,趨勢科技的新一代入侵防護(NGIPS)能夠保護企業來抵禦威脅

新冠肺炎(COVID-19)讓人們轉移到雲端,網路攻擊者現在也將目標對準天空。

美國國土安全部網路安全暨基礎安全局(CISA)在2021年7月28日發表了一份報告,詳細介紹了2020年和2021年常被利用的漏洞。報告指出,攻擊者最喜歡的新目標是在2019年後公布的遠端工作、VPN(虛擬私人網路)和雲端技術相關漏洞。

隨著遠端工作的普及,網路攻擊者也在利用新的遠端工作相關未修補漏洞,而網路防禦者則必須努力地追上修補工作。一旦進行漏洞攻擊,駭客可以利用遠端程式碼執行(RCE)、任意程式碼執行(arbitrary code execution)、路徑遍歷(path traversal)或其他技術來控制目標電腦。

風險隨著遠端工作需求的激增而上升


CISA名單上的12個已確認漏洞(表一)顯示出攻擊者經常針對新發現的遠端工作相關漏洞。前三名與遠端工作、VPN和雲端環境有關。其中有9個漏洞是在2019年或之後公布。

表一:2020年最常被利用的漏洞

Top Exploited Vulnerabilities in 2020
資料來源:網路安全暨基礎安全局(CISA)

遠端工作相關漏洞在2020年對攻擊者來說很有吸引力。倉促部署雲端協同服務很容易導致安全配置的疏忽。最常被利用的前三個漏洞 – CVE-2019-19781、CVE-2019-11510、CVE-2018-13379都出現在VPN服務。

正如我們在2020年度安全綜合報告裡所討論的,虛擬私人網路(VPN)對於想擴展和保護內部網路連線免於外部威脅的企業來說已經不可或缺。許多企業和一般使用者都在辦公室或私人家庭裡採用了VPN。使用量在2020年初激增,根據2021年初的一項研究顯示,全球有31%的網路用戶用過VPN。但儘管VPN是一種安全工具,但它也可能成為網路威脅的進入載體。實際上,未經修補和未更新的VPN可能存在嚴重的漏洞,而攻擊者可以利用這些漏洞來入侵目標系統。

趨勢科技的資料顯示2020年和2021年上半年一些最值得注意和常見的VPN漏洞偵測數量。我們發現CVE-2018-13379在2021年1月的偵測數突然激增,雖然隨後幾個月的數字有所下滑,但明顯高於去年同期。CVE-2018-13379是一個Fortinet VPN產品的漏洞,可以讓未經認證的使用者透過特製的HTTP資源請求下載系統檔案。

Comparison VPN vulnerabilities
Comparison VPN vulnerabilities
顯著VPN漏洞在2020年與2021年的上半年偵測數比較
資料來源:趨勢科技數位疫苗過濾規則(Digital Vaccine filter)
圖一:CVE-2019-19781的時間軸

CVE-2019-19781

CVE-2019-19781

CVE-2019-19781是攻擊者如何利用未修補空窗期來利用漏洞的完美範例。

Citrix Netscaler應用程式交付控制軟體(ADC)漏洞是2020年被利用最多的漏洞。ADC是在美國各地被廣泛用於網頁、應用程式和資料庫伺服器的負載平衡應用程式。未經修補的裝置因為無法做好存取控制而容易遭受RCE攻擊和讓整個系統淪陷,從而讓攻擊者可以進行目錄遍歷(directory traversal)。

CVE-2019-19781在2019年底公布,很快就遭受多種漏洞攻擊。這些漏洞攻擊擴散到多個國家,包括美國、哥倫比亞、阿根廷和瑞士。這些攻擊在2021上半年有所消減,趨勢科技入侵防禦系統(IPS)解決方案偵測到的漏洞攻擊不到 7,000次。

CVE-2019-11510

圖二:CVE-2019-11510的時間軸

CVE-2019-11510

CVE-2019-11510
圖三:CVE-2018-13379的時間軸

亞軍的CVE-2019-11510顯示出即使有了官方修補程式,未經修補的漏洞也會遭受網路攻擊。

Pulse Secure Connect漏洞經常成為國家級「進階持續性滲透攻擊」(以下簡稱 APT攻擊)的目標,容易造成未經認證的任意檔案洩露(arbitrary file disclosure)。攻擊者可以利用此漏洞取得管理憑證。

儘管Pulse Secure在公布漏洞時提供了軟體更新,但仍然有攻擊針對未修補的VPN伺服器,其中有些是為了安裝REvil(Sodinokibi)勒索病毒。根據趨勢科技的資料顯示,大多數攻擊針對的是德國組織。幸運的是,與CVE-2019-19781一樣,CVE-2019-11510的漏洞攻擊活動自2021年2月以來似乎有所減弱。

CVE-2018-13379

CVE-2018-13379
圖四:CVE-2017-11882的時間軸

CVE-2018-13379是影響Fortinet SSL VPN的漏洞,攻擊者在2020年到2021年間所針對的另一個遠端工作相關漏洞。此漏洞會遭受未經認證的目錄遍歷攻擊,讓攻擊者能夠取得sslvpn_websession檔案。然後攻擊者就能準確地取得明碼的使用者名稱和密碼。

最近的攻擊在2021年1月達到高峰,趨勢科技在2021上半年偵測到近50萬次攻擊。大部分都是針對德國和美國的目標。

攻擊者對舊漏洞愛不釋手


儘管有新面孔,但有些舊漏洞仍然受到攻擊者的歡迎。CVE-2017-11882、CVE-2018-7600和CVE-2019-0604在「2016-2019年最常被利用漏洞」榜單上位列前10名,也進入了2020年的前10名。

例如,CVE-2017-11882是關於Microsoft OLE技術的漏洞,長期以來一直都是疑受中國、伊朗、朝鮮和俄羅斯等國支持駭客的最愛。這不僅是因為世界上每個地方都在用Microsoft Office,還因為有很多人不會定期更新Office的修補程式。所以可以在有漏洞的系統上執行RCE。雖然漏洞攻擊的數量在2021上半年遠低於2019年的高峰期,但仍是高優先修補等級的漏洞。

CVE-2017-11882

CVE-2017-11882
圖五:CVE-2018-7600的時間軸

CVE-2018-7600從2019年到2021年一直持續地受到大量攻擊。這是開放內容管理系統Drupal的漏洞。此漏洞存在於多個Drupal版本。攻擊者可以利用它來執行任意程式碼並劫持伺服器。雖然漏洞攻擊數量比起之前2019年和2020年的高峰有所下降,但趨勢科技在2021上半年仍偵測到超過126萬次的漏洞攻擊,受害者分佈在美國、德國和加拿大。

CVE-2018-7600

CVE-2018-7600

使用入侵防護(IPS)保護企業


隨著企業轉向雲端,並且因為疫情關係讓在家工作變成主流,企業需要提升保護系統對抗漏洞攻擊的能力。此外,混合雲將繼續成為常態,所以能夠管理本地和雲端工作負載的網路安全平台會有所幫助。為了防止企業在新的遠端工作時代遭受攻擊,入侵防護(IPS)發揮了重要作用。當修補程式尚未準備好安裝時,IPS解決方案可以攔截試圖攻擊現有、未知或未公開漏洞的網路連線。它可以識別存取網路的惡意軟體,並增加對存取網路應用程式的能見度或控制能力。

IPS所帶來的價值顯而易見。IPS解決方案能夠為企業爭取更多時間來等待廠商推出修補程式,或做好測試及部署修補程式的工作。它能夠減少或消除執行緊急修補所花費的時間和金錢。此外,它還讓企業能夠保持正常的修補週期。

漏洞(vulnerability)和漏洞利用(exploit)有時被用來表示相同的事情,但實際上它們非常不同。漏洞(vulnerability)是軟體內的弱點,它使得軟體容易遭受攻擊,就類似讓你的房子或商店開了後門一樣。而漏洞利用(exploit)則是為了利用漏洞而開發的程式碼或惡意威脅。這是讓人通過被打開門的方法。一個漏洞可能有許多的漏洞利用存在。在趨勢科技,我們專注於用我們的IPS技術來虛擬修補漏洞(關門),並且在防毒軟體層級偵測漏洞利用,從而可以阻止所有的漏洞攻擊。

趨勢科技TippingPoint趨勢科技Cloud One – Workload Security以及趨勢科技Worry-Free Business Security透過新一代入侵防護為企業提供全方位的保護,從網路安全防護到混合雲環境。

趨勢科技TippingPoint能夠對企業網路流量進行即時、自動檢測,而不會影響混合基礎設施(包括本地、私有和公共雲)的網路效能。對所有網路流量的完全能見度讓網路安全防護領先於潛在攻擊。在2020年,TippingPoint入侵防護解決方案平均可以在提交給我們零時差計劃(ZDI)的漏洞推出修補程式前81天為客戶提供保護,該計畫是全球最大的非限定廠商獨立漏洞獎勵計劃。

另一方面,趨勢科技Cloud One – Workload Security可以保護虛擬、實體、雲端和容器的混合環境。趨勢科技Cloud One – Workload Security透過入侵防禦和防火牆技術主動防禦網路威脅。它對每一個新工作負載進行自動偵測,讓企業能夠透過集中主控台控制混合環境,並具備按小時計價的靈活性。

30多年來,趨勢科技一直在捍衛企業免於惡意網路活動影響,並儘早阻止零時差漏洞攻擊和n-day漏洞。憑藉領先的漏洞獎勵計劃(ZDI)和新一代入侵防護(NGIPS),趨勢科技提供低延遲且無誤報的網路保護。

更多趨勢科技如何保護企業免於漏洞影響的資訊

@原文出處:CISA Reports Top Vulnerabilities From Remote Work 作者:Jon Clay