（文章來源：首席安全官）

近日，國內安全公司發布報告稱，國家級APT組織DarkHotel，利用深信服VPN軟件的零日安全漏洞，入侵多家中國政府相關單位及駐外機構。據透露，超過 200多臺VPN服務器被攻擊組織入侵。

4月7日中午，深信服（300454,SZ）發布公告確認了這一消息，稱經其分析發現，該事件的始作俑者為某黑客組織。在獲悉漏洞信息后，該公司已按照應急響應流程第一時間成立應急事件處理小組，對該事件進行徹底排查。自從冠狀病毒（COVID-19）爆發以來，由于遠程辦公的必要需求，企業VPN使用量增加了33％，利用VPN漏洞發動攻擊，成為黑客入侵政企機構、布局全球網絡態勢的流行手段。

VPN（即虛擬專用網絡，Virtual Private Network）：在公用網絡上建立專用網絡，通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN在企業、政府機構遠程辦公中起著舉足輕重的地位。這意味著，一旦VPN漏洞被黑客利用攻擊，將面臨巨大威脅。

2020年2月，以色列網絡安全公司ClearSky發布報告，重磅爆出伊朗“Fox Kitten”的網絡間諜計劃——利用未修補的VPN漏洞作為切入點，向全球政府和企業植入后門，引發安全界廣泛熱議。

根據該報告，伊朗攻擊組織利用Pulse Secure、Fortinet、Palo Alto Networks和Citrix等知名企業VPN產品漏洞，入侵大型公司并在其中植入后門。2019年伊朗黑客組織快速武器化如下多個 VPN 漏洞：Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

在新冠疫情全球范圍爆發，高度密切關注利用VPN漏洞發動的網絡攻擊顯得尤為重要。早在2019年，大量 VPN 服務器就被曝出重大漏洞，加劇了VPN網絡安全態勢的風險。

其中，2019年4月，卡內基梅隆大學CERT/CC稱，至少四款企業VPN應用中存在安全缺陷，包括思科、F5 Networks、Palo Alto Networks和Pulse Secure的VPN應用。這四款應用被證實以非加密形式將認證和/或會話cookie存儲在計算機內存或日志文件中。

2019年7月，Palo Alto GlobalProtect SSL VPN高危漏洞被公開，在/sslmgr位置存在格式化字符串漏洞，攻擊者可利用漏洞實現遠程代碼執行。受影響版本包括：PaloAlto GlobalProtect SSL VPN 7.1.x<7.1.19、8.0.x<8.0.12、8.1.x<8.1.3。

2019年8月，安全研究人員公布針對Fortigate SSL VPN（飛塔VPN）的漏洞說明，其中一個任意文件讀取漏洞利用門檻較低，預計會對全球Fortigate SSL VPN造成較大影響。主要影響使用了Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本的SSL VPN。

2019年8月，安全研究員公布Pulse Secure SSL VPN 多個漏洞。攻擊這些漏洞，可以讀取任意文件包括明文密碼、賬號信息和Session信息，以及進入后臺后執行系統命令。Pulse Secure官方已發布修復版本。

英國國家網絡安全中心（NCSC）稱，研究發現有高級持久威脅（APT）參與者利用已知漏洞入侵供應商Pulse Secure、Fortinet、Palo Alto和Citrix的虛擬專用網VPN產品。受影響的部門包括政府，軍事，學術，商業和醫療保健。FBI 在本年初評估了 2019 年末以來發生的 VPN 服務器漏洞攻擊，發現波及廣泛，已影響到美國和其他國家的許多部門。
? ? ?（責任編輯：fqj）