立即修補遙距存取和遙距儲存的保安漏洞
2019冠狀病毒病使遙距存取方案在遙距工作場景中的應用激增,例如虛擬私人網絡(VPN)、遙距儲存、雲端技術等。然而,這些遙距存取方案也向互聯網上暴露了一個新的攻擊面。在過去的一年內,遙距存取產品經常被發現有高風險的漏洞。其中一些已被廣泛利用以發起各種攻擊,例如傳播惡意軟件、勒索軟件、資料洩露等。除此之外,一些企業基於穩定性原因而繼續使用舊版本的遙距存取產品, 因此利用舊版本漏洞進行網絡攻擊的風險亦有機會增加。
2019年首次發現的QSnatch 惡意軟件是其中一個針對未有修補漏洞設備的著名網絡攻擊,它利用舊版本的 QNAP 網絡儲存裝置(NAS)的漏洞,植入惡意軟件,使裝置成為殭屍網絡的一部分 [1]。儘管QNAP經已發布保安更新來修補被利用的漏洞,相關攻擊仍在全球蔓延,自兩年前被發現以來,傳播從未停止過。HKCERT 亦一直在觀察此惡意軟件在香港的情況,並通知相關機構進行修正。 但是,許多受影響的 QNAP 網絡儲存裝置尚未修補相關漏洞。
HKCERT 曾就常用的遠端存取產品中的高風險漏洞發布多個保安公告,包括 Fortinet SSL VPN 漏洞(CVE-2018-13379)[2]、Citrix Application Delivery Controller 漏洞(CVE-2019-19781)[3] 和 Pulse Secure VPN 漏洞(CVE-2019-11510)[4] 等。黑客可以利用上述漏洞進一步進入 VPN 網絡或其他應用程式協議的控制權。 與此同時,HKCERT 經常發現位於香港的一些設備有可能受到這些漏洞的影響。
美國網絡安全和基礎設施安全局(CISA)、澳大利亞網絡安全中心(ACSC)、英國國家網絡安全中心(NCSC)和美國聯邦調查局(FBI)近期發布了一份聯合網絡保安報告。報告列出過去兩年內30 個全球廣泛被利用最多的漏洞 [5],主要都是來自遠端存取產品,例如來自各種品牌的 VPN網絡裝置。報告的結果與 HKCERT 的觀察所得脗合。因此,可以預見黑客將繼續利用暴露在互聯網上遙距存取產品的漏洞來進行攻擊。
HKCERT敦促公眾和機構保持警惕,特別注意遙距存取產品的漏洞,並採取以下預防措施:
- 及時更新系統,留意供應商的官網或訂閱HKCERT的資訊保安警報,以了解韌體更新軟件的發布消息;
- 定期更改管理員和用戶密碼;
- 停用未使用的帳戶,盡量降低帳戶的權限;
- 關掉未被使用的通訊協議和應用程式,例如 SSH、Telnet、網頁伺服器、SQL 伺服器、phpMyAdmin;
- 避免使用默認端口,例如 22、443、80、8080、8081等;
- 限制防火牆的存取政策,盡可能採用默認拒絕所有流量的原則;
- 啟動系統日誌功能,遇到異常情況時發出警報;以及
- 以仍然受支援服務的軟件和硬件產品來取代已終止支援服務的版本。
參考資料:
[1] https://www.hkcert.org/tc/blog/qsnatch-malware-prevention-and-cleanup
[2] https://www.hkcert.org/tc/blog/patch-fortios-ssl-vpn-vulnerability-cve-2018-13379-immediately
[4] https://www.hkcert.org/tc/blog/critical-pulse-secure-vpn-vulnerability-cve-2019-11510-alert
分享至