Subscribe to receive notifications of new posts:

使用 Cloudflare One 消除 VPN 漏洞

2024-03-06

6 min read
Eliminate VPN vulnerabilities with Cloudflare One

2024 年 1 月 19 日,網路安全和基礎架構安全局 (CISA) 發佈了緊急指令 24-01:緩解 Ivanti Connect Secure 和 Ivanti Policy Secure 漏洞。CISA 有權針對已知或合理懷疑的資訊安全威脅、漏洞或事件發佈緊急指令。美國聯邦機構必須遵守這些指令。

聯邦機構被指示對最近發現的兩個漏洞採取緩解措施;緩解措施將在三天內實施。CISA 的進一步監控顯示,威脅行為者正在繼續利用這些漏洞,並針對早期的緩解措施和偵測方法開發了一些應對辦法。1 月 31 日,CISA 發佈了緊急指令的補充指令 V1,指示各機構立即斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有執行個體與機構網路的連線,在執行多項動作後才可將產品重新投入使用。

本部落格文章將探討威脅行為者的策略,討論目標產品的高價值性質,並展示 Cloudflare 的安全存取服務邊緣 (SASE) 平台如何防禦此類威脅

順便說一句,Cloudflare 的 WAF 主動偵測了 Ivanti zero-day 漏洞並部署了緊急規則來保護 Cloudflare 客戶,展示了分層保護的價值。

威脅行為者策略

取證調查(請參閱 Volexity 部落格上的精彩文章)表明,攻擊早在 2023 年 12 月就開始了。結合各種證據,我們可以得知,威脅行為者將兩個以前未知的漏洞鏈接在一起,以獲得對 Connect Secure 和 Policy Secure 設備的存取權限並實現未經驗證的遠端程式碼執行 (RCE)。

CVE-2023-46805 是產品 Web 元件中的驗證繞過漏洞,允許遠端攻擊者繞過控制檢查並獲取對受限資源的存取權限。CVE-2024-21887 是產品 Web 元件中的命令插入漏洞,允許經過驗證的管理員在設備上執行任意命令並傳送特製請求。遠端攻擊者能夠繞過驗證並被視為「經過驗證的」管理員,然後利用在設備上執行任意命令的能力。

透過利用這些漏洞,威脅行為者幾乎完全控制了設備。除此之外,攻擊者還能夠:

  • 收集登入 VPN 服務之使用者的認證
  • 使用這些認證登入受保護系統以搜尋更多認證
  • 修改檔案以啟用遠端程式碼執行
  • 將 Web Shell 部署到多個 Web 伺服器
  • 從設備傳回其命令和控制伺服器 (C2) 的反向通道
  • 透過停用記錄和清除現有記錄來避開偵測

小設備,大風險

這是一起嚴重事件,使客戶面臨重大風險。CISA 發佈指令是合理的,Ivanti 正在努力減輕威脅並為其設備上的軟體開發修補程式。但這也是對傳統「城堡加護城河」安全範式的又一控訴。在這種模式中,遠端使用者位於城堡外,而受保護的應用程式和資源則留在城堡內。由一層安全設備組成的護城河將兩者分開。護城河(在本例中為 Ivanti 設備)負責對使用者進行驗證和授權,然後將他們連接到受保護的應用程式和資源。攻擊者和其他壞人被擋在護城河邊。

這一事件向我們展示了當壞人能夠控制護城河本身時會發生什麼,以及客戶恢復控制權時面臨的挑戰。廠商提供的設備和傳統安全性原則的兩個典型特徵凸顯了風險:

  • 管理員可以存取設備的內部
  • 經過驗證的使用者可以隨意存取公司網路上的各種應用程式和資源,從而增加了不良行為者橫向移動的風險
With network-level access, attackers can spread from an entry point to the rest of the network

更好的方法:Cloudflare 的 SASE 平台

Cloudflare One 是 Cloudflare 的 SSE 和單一廠商 SASE 平台。雖然 Cloudflare One 廣泛涵蓋安全和網路服務(您可以在此處閱讀最新的新增功能),但我想重點關注上述兩點。

首先,Cloudflare One 採用 Zero Trust 原則,包括最低權限原則。因此,成功驗證的使用者只能存取其角色所需的資源和應用程式。這一原則在使用者帳戶遭到入侵的情況下也很有幫助,因為不良行為者不會獲得毫無限制的網路級存取權限。相反,最低權限限制了不良行為者的橫向移動範圍,從而有效減少了影響範圍。

ZTNA helps prevent dangerous lateral movement on an organization’s corporate network

其次,雖然客戶管理員需要有權設定其服務和原則,但 Cloudflare One 不提供對 Cloudflare 平台系統內部的任何外部存取權限。沒有這種存取權限,不良行為者將無法發起有權存取 Ivanti 設備內部時所執行的攻擊類型。

是時候淘汰傳統 VPN 了

如果您的組織受到 CISA 指令的影響,或者您剛好想要進行現代化改造並希望增強或取代當前的 VPN 解決方案,Cloudflare 可以為您提供幫助。Cloudflare 的 Zero Trust 網路存取 (ZTNA) 服務是 Cloudflare One 平台的一部分,是將任何使用者連接到任何應用程式的最快、最安全的方式。

歡迎聯絡我們以立即獲得部署幫助,或安排架構研討會,幫您擴充或取代 Ivanti(或任何)VPN 解決方案。
還沒有準備好進行即時對話?請閱讀我們的學習路徑文章,瞭解如何使用 Cloudflare 取代您的 VPN,或閱讀我們的 SASE 參考架構,瞭解我們所有的 SASE 服務和入口如何協同工作。

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Security Week (TW)VPN (TW)Cloudflare One (TW)Cloudflare Access (TW)Vulnerabilities (TW)Attacks (TW)Application Services (TW)繁體中文

Follow on X

Cloudflare|@cloudflare

Related posts

March 08, 2024 2:05 PM

Log Explorer:監控安全事件,無需第三方儲存

藉助 Security Analytics + Log Explorer 結合的強大功能,安全團隊可以在 Cloudflare 內原生分析、調查和監控安全攻擊,而無需將記錄轉寄至第三方 SIEM,從而為客戶降低了解決問題的時間以及總體擁有成本...