的APT正在推出Pulse Secure和Fortinet VPN服務(wù)器

一組贊助的黑客正在瞄準(zhǔn)Fortinet和Pulse Secure的企業(yè)VPN服務(wù)器，因為這兩個產(chǎn)品的安全漏洞的細節(jié)在上個月成為公眾知識。

ZDNet從熟悉這些攻擊的消息來源獲悉，這些攻擊是由一個名為APT5(也稱為錳)的團體進行的。

根據(jù)FireEye報告，APT5自2007年以來一直活躍，“似乎是一個由幾個小組組成的大型威脅組織，通常具有不同的戰(zhàn)術(shù)和基礎(chǔ)設(shè)施。”

FireEye表示，該集團已針對或突破多個行業(yè)的組織，但其重點主要集中在電信和技術(shù)公司，并對衛(wèi)星通信公司特別感興趣。

APT5襲擊于上個月開始

從8月下旬開始，較大的APT5傘組的一個小組似乎已經(jīng)建立了基礎(chǔ)設(shè)施，通過這些基礎(chǔ)設(shè)施，他們開始進行互聯(lián)網(wǎng)掃描，以搜索Fortinet和Pulse Secure VPN服務(wù)器。

APT5是第一批開始掃描互聯(lián)網(wǎng)，然后嘗試利用兩個VPN服務(wù)器產(chǎn)品中的兩個漏洞的人之一。

兩周前，在拉斯維加斯舉行的黑帽安全會議上，提出了有關(guān)這兩個漏洞的詳細信息。

這兩個漏洞(Fortinet的CVE-2018-13379和Pulse Secure的CVE-2019-11510)都是所謂的“pre-auth文件讀取”，它允許攻擊者從VPN服務(wù)器檢索文件而無需進行身份驗證。

APT5和其他威脅組正在使用這兩個漏洞來竊取存儲密碼信息或受影響產(chǎn)品的VPN會話數(shù)據(jù)的文件。這些文件可以讓攻擊者接管易受攻擊的設(shè)備。

觀察到APT5襲擊事件的消息人士稱，他們無法確定該組是否成功破壞了這些設(shè)備。

目標(biāo)VPN服務(wù)器是高端產(chǎn)品

Fortinet的Fortigate SSL VPN和Pulse Secure的SSL VPN產(chǎn)品都非常受歡迎。例如，F(xiàn)ortinet的Fortigate VPN是絕對的市場領(lǐng)導(dǎo)者，在全球運營著超過480,000個Fortigate SSL VPN服務(wù)器。

另一方面，Pulse Secure的SSL VPN被認為是SSL VPN市場上最高端的產(chǎn)品，用于保護許多財富500強企業(yè)，互聯(lián)網(wǎng)上最大的科技公司和政府機構(gòu)對內(nèi)部網(wǎng)絡(luò)的訪問。

根據(jù)威脅情報公司Bad Packets LLC的數(shù)據(jù)，在線提供大約42,000個Pulse Secure VPN服務(wù)器。

許多公司未能修補

今年早些時候，一家名為Devcore的公司的安全研究人員發(fā)現(xiàn)了Fortinet和Pulse Secure漏洞。

該問題被報告給在三月份兩家供應(yīng)商，并通過最緊迫兩家廠商修補，Devcore在描述這兩個問題。Pulse Secure 在4月發(fā)布了一個補丁，F(xiàn)ortinet 在5月發(fā)布了自己的補丁。

但是，這兩個SSL VPN服務(wù)器的所有者似乎無法安裝這些修補程序。不這樣做的原因各不相同。

一方面，有許多Fortinet客戶在社交媒體上報道他們甚至不知道Fortigate VPN有可用的安全修復(fù)程序，更不用說他們必須修補了。

該公司本周早些時候未發(fā)回評論請求，尋求更多信息。然而，F(xiàn)ortinet 在8月28 日前幾天發(fā)布了一篇博客文章，將其5月補丁的問題再次引入其網(wǎng)站讀者的注意。

PULSE SECURE警告并聯(lián)系客戶

另一方面，Pulse Secure在通知客戶方面更加積極，但這并不意味著客戶聽從了公司的建議。

8月中旬的一次掃描發(fā)現(xiàn)，42,000個Pulse Secure SSL VPN服務(wù)器中仍有近14,500個仍在運行易受攻擊的版本。上周進行的第二次掃描發(fā)現(xiàn)，這個數(shù)字幾乎沒有下降，達到10,500。

但這里的責(zé)任似乎并不在于Pulse Secure。

“我們不僅發(fā)布了公共安全咨詢 - SA44101，但從4月的那天開始，我們通過電子郵件，產(chǎn)品內(nèi)警報，在我們的社區(qū)網(wǎng)站上積極通知我們的客戶，合作伙伴和服務(wù)提供商有關(guān)補丁的可用性和需求，在我們的合作伙伴門戶網(wǎng)站和我們的客戶支持網(wǎng)站上，“Pulse Secure的首席營銷官Scott Gordon在一封電子郵件中告訴ZDNet，描述了該公司通知客戶的努力。

“我們的客戶成功經(jīng)理也直接與客戶聯(lián)系和合作，”他補充說。“此外，Pulse Secure支持工程師全天候可用，包括周末和假期，以幫助需要幫助的客戶應(yīng)用補丁修復(fù)程序。

“我們還向客戶提供幫助，即使他們沒有遵守有效的維護合同，也可以為這些漏洞應(yīng)用修補程序，”戈登說。

“仍需要幫助的客戶應(yīng)使用以下URL上的聯(lián)系信息聯(lián)系Pulse Secure支持：https：//support.pulsesecure.net/support/support-contacts/ ”

戈登表示，這些努力取得了豐碩成果，因為該公司的大多數(shù)客戶已經(jīng)在8月底成功應(yīng)用了該補丁。

盡管如此，并非所有客戶都聽從了公司的建議，而這些組織最終可能會在未來的路上付出更高的代價。

的APT(高級威脅組織)不僅僅是為了收集情報或政治網(wǎng)絡(luò)而侵入外國目標(biāo)(公司，政府組織，大學(xué))。他們還竊取了知識產(chǎn)權(quán)，這些知識產(chǎn)權(quán)多次落入競爭對手的手中，在未來幾年以許多人沒想到的方式傷害被黑客入侵的公司。