3 уязвимости SSL VPN, обнаруженные в 2019 году, по-прежнему используются регулярно

3 уязвимости SSL VPN, обнаруженные в 2019 году, по-прежнему используются регулярно

Источник · Перевод автора

Уязвимости в продуктах SSL VPN являются одними из наиболее часто используемых злоумышленниками для первоначального доступа к целевым сетям, выступая в качестве прохода для использования. Ранее в этом году Tenable Research назвала три уязвимости VPN в числе пяти основных уязвимостей 2020 года.

Хотя все три уязвимости (CVE-2019-19781, CVE-2019-11510, CVE-2018-13379) были обнаружены в 2019 году и исправлены В январе 2020 года они по-прежнему будут эксплуатироваться в обычном порядке более чем в середине 2021 года.

На основе проведенного Tenable Research анализа рекомендаций поставщиков, правительственных предупреждений и отраслевых данных команда повторно изучила, как злоумышленники исторически использовали эти уязвимости, а также новые отчеты об атаках в 2021 году.

Известно, что несколько групп угроз использовали CVE-2019-19781 – ошибку обхода пути или каталога в продуктах Citrix ADC, Gateway и SD-WAN WANOP, нацеленную на отрасль здравоохранения.

Совсем недавно злоумышленники указали, что предпочитают эту уязвимость на онлайн-форумах в период с января 2020 года по март 2021 года, поскольку это была наиболее часто упоминаемая CVE на русскоязычных и англоязычных форумах в темной сети.

В апреле 2019 года Pulse Secure выпустила рекомендации по внеполосной безопасности для устранения множественных уязвимостей в своем решении Pulse Connect Secure SSL VPN. Наиболее заметной из них, CVE-2019-11510, является уязвимость, связанная с произвольным раскрытием файлов, максимальная оценка CVSSv3 составила 10,0.

Перенесемся в первый квартал 2021 года – отчет Nuspire показал увеличение на 1527% попыток использования CVE-2019-11510 против уязвимых VPN-сервисов Pulse Connect Secure SSL. Также существует не менее 16 семейств вредоносных программ, которые были разработаны для использования уязвимостей в Pulse Connect Secure.

В мае 2019 года Fortinet исправила уязвимость обхода каталогов в своей FortiOS SSL VPN, которая позволяет злоумышленнику, не прошедшему проверку подлинности, получать доступ к произвольным системным файлам с помощью искусственно созданных HTTP-запросов.

Теперь количество атак, использующих эту ошибку, увеличилось на 1916% в первом квартале 2021 года. Более того, апрельский отчет Kaspersky ICS CERT показал, что злоумышленники использовали его в качестве точки входа в корпоративную сеть для развертывания вымогателя Cring.

Поскольку SSL VPN обеспечивают виртуальный вход в организации, группы программ-вымогателей будут продолжать нацеливаться на эти неисправленные недостатки, пока организации не предпримут шаги по укреплению этих точек входа путем исправления уязвимостей в продуктах SSL VPN.

Прочтите полный отчет Tenable Research.