订阅以接收新文章的通知:

使用 Cloudflare One 消除 VPN 漏洞

2024/03/06

6 分钟阅读时间
Eliminate VPN vulnerabilities with Cloudflare One

2024 年 1 月 19 日,網路安全和基礎架構安全局 (CISA) 發佈了緊急指令 24-01:緩解 Ivanti Connect Secure 和 Ivanti Policy Secure 漏洞。CISA 有權針對已知或合理懷疑的資訊安全威脅、漏洞或事件發佈緊急指令。美國聯邦機構必須遵守這些指令。

聯邦機構被指示對最近發現的兩個漏洞採取緩解措施;緩解措施將在三天內實施。CISA 的進一步監控顯示,威脅行為者正在繼續利用這些漏洞,並針對早期的緩解措施和偵測方法開發了一些應對辦法。1 月 31 日,CISA 發佈了緊急指令的補充指令 V1,指示各機構立即斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有執行個體與機構網路的連線,在執行多項動作後才可將產品重新投入使用。

本部落格文章將探討威脅行為者的策略,討論目標產品的高價值性質,並展示 Cloudflare 的安全存取服務邊緣 (SASE) 平台如何防禦此類威脅

順便說一句,Cloudflare 的 WAF 主動偵測了 Ivanti zero-day 漏洞並部署了緊急規則來保護 Cloudflare 客戶,展示了分層保護的價值。

威脅行為者策略

取證調查(請參閱 Volexity 部落格上的精彩文章)表明,攻擊早在 2023 年 12 月就開始了。結合各種證據,我們可以得知,威脅行為者將兩個以前未知的漏洞鏈接在一起,以獲得對 Connect Secure 和 Policy Secure 設備的存取權限並實現未經驗證的遠端程式碼執行 (RCE)。

CVE-2023-46805 是產品 Web 元件中的驗證繞過漏洞,允許遠端攻擊者繞過控制檢查並獲取對受限資源的存取權限。CVE-2024-21887 是產品 Web 元件中的命令插入漏洞,允許經過驗證的管理員在設備上執行任意命令並傳送特製請求。遠端攻擊者能夠繞過驗證並被視為「經過驗證的」管理員,然後利用在設備上執行任意命令的能力。

透過利用這些漏洞,威脅行為者幾乎完全控制了設備。除此之外,攻擊者還能夠:

  • 收集登入 VPN 服務之使用者的認證
  • 使用這些認證登入受保護系統以搜尋更多認證
  • 修改檔案以啟用遠端程式碼執行
  • 將 Web Shell 部署到多個 Web 伺服器
  • 從設備傳回其命令和控制伺服器 (C2) 的反向通道
  • 透過停用記錄和清除現有記錄來避開偵測

小設備,大風險

這是一起嚴重事件,使客戶面臨重大風險。CISA 發佈指令是合理的,Ivanti 正在努力減輕威脅並為其設備上的軟體開發修補程式。但這也是對傳統「城堡加護城河」安全範式的又一控訴。在這種模式中,遠端使用者位於城堡外,而受保護的應用程式和資源則留在城堡內。由一層安全設備組成的護城河將兩者分開。護城河(在本例中為 Ivanti 設備)負責對使用者進行驗證和授權,然後將他們連接到受保護的應用程式和資源。攻擊者和其他壞人被擋在護城河邊。

這一事件向我們展示了當壞人能夠控制護城河本身時會發生什麼,以及客戶恢復控制權時面臨的挑戰。廠商提供的設備和傳統安全性原則的兩個典型特徵凸顯了風險:

  • 管理員可以存取設備的內部
  • 經過驗證的使用者可以隨意存取公司網路上的各種應用程式和資源,從而增加了不良行為者橫向移動的風險
With network-level access, attackers can spread from an entry point to the rest of the network

更好的方法:Cloudflare 的 SASE 平台

Cloudflare One 是 Cloudflare 的 SSE 和單一廠商 SASE 平台。雖然 Cloudflare One 廣泛涵蓋安全和網路服務(您可以在此處閱讀最新的新增功能),但我想重點關注上述兩點。

首先,Cloudflare One 採用 Zero Trust 原則,包括最低權限原則。因此,成功驗證的使用者只能存取其角色所需的資源和應用程式。這一原則在使用者帳戶遭到入侵的情況下也很有幫助,因為不良行為者不會獲得毫無限制的網路級存取權限。相反,最低權限限制了不良行為者的橫向移動範圍,從而有效減少了影響範圍。

ZTNA helps prevent dangerous lateral movement on an organization’s corporate network

其次,雖然客戶管理員需要有權設定其服務和原則,但 Cloudflare One 不提供對 Cloudflare 平台系統內部的任何外部存取權限。沒有這種存取權限,不良行為者將無法發起有權存取 Ivanti 設備內部時所執行的攻擊類型。

是時候淘汰傳統 VPN 了

如果您的組織受到 CISA 指令的影響,或者您剛好想要進行現代化改造並希望增強或取代當前的 VPN 解決方案,Cloudflare 可以為您提供幫助。Cloudflare 的 Zero Trust 網路存取 (ZTNA) 服務是 Cloudflare One 平台的一部分,是將任何使用者連接到任何應用程式的最快、最安全的方式。

歡迎聯絡我們以立即獲得部署幫助,或安排架構研討會,幫您擴充或取代 Ivanti(或任何)VPN 解決方案。
還沒有準備好進行即時對話?請閱讀我們的學習路徑文章,瞭解如何使用 Cloudflare 取代您的 VPN,或閱讀我們的 SASE 參考架構,瞭解我們所有的 SASE 服務和入口如何協同工作。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Security Week (TW)VPN (TW)Cloudflare One (TW)Cloudflare Access (TW)Vulnerabilities (TW)Attacks (TW)Application Services (TW)繁體中文

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年3月08日 14:05

Log Explorer:監控安全事件,無需第三方儲存

藉助 Security Analytics + Log Explorer 結合的強大功能,安全團隊可以在 Cloudflare 內原生分析、調查和監控安全攻擊,而無需將記錄轉寄至第三方 SIEM,從而為客戶降低了解決問題的時間以及總體擁有成本...