订阅以接收新文章的通知:

使用 Cloudflare One,消除 VPN 漏洞

2024-03-06

3 分钟阅读时间
这篇博文也有 English日本語한국어繁體中文版本。

2024 年 1 月 19 日,网络安全和基础设施安全局 (CISA) 发布了紧急指令 24-01:缓解 Ivanti Connect Secure 和 Ivanti Policy Secure 漏洞。CISA 有权针对已知或合理怀疑的信息安全威胁、漏洞或事件发布紧急指令。美国联邦机构必须遵守这些指令。

Eliminate VPN vulnerabilities with Cloudflare One

联邦机构被指示对最近发现的两个漏洞采取缓解措施;缓解措施将在三天内实施。CISA 的进一步监控显示,威胁行为者正在继续利用这些漏洞,并针对早期的缓解措施和检测方法开发了一些应对办法。1 月 31 日,CISA 发布了紧急指令的补充指令 V1,指示各机构立即断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有实例与机构网络的连接,在执行多项操作后才可将产品重新投入使用。

本博文将探讨威胁行为者的策略,讨论目标产品的高价值性质,并展示 Cloudflare 的安全访问服务边缘 (SASE) 平台如何防御此类威胁

顺便说一句,Cloudflare 的 WAF 主动检测了 Ivanti zero-day 漏洞并部署了紧急规则来保护 Cloudflare 客户,展示了分层保护的价值。

威胁行为者策略

取证调查(请参阅 Volexity 博客上的精彩文章)表明,攻击早在 2023 年 12 月就开始了。结合各种证据,我们可以得知,威胁行为者将两个以前未知的漏洞链接在一起,以获得对 Connect Secure 和 Policy Secure 设备的访问权限并实现未经身份验证的远程代码执行 (RCE)。

CVE-2023-46805 是产品 Web 组件中的身份验证绕过漏洞,允许远程攻击者绕过控制检查并获取对受限资源的访问权限。CVE-2024-21887 是产品 Web 组件中的命令注入漏洞,允许经过身份验证的管理员在设备上执行任意命令并发送特制请求。远程攻击者能够绕过身份验证并被视为“经过身份验证的”管理员,然后利用在设备上执行任意命令的能力。

通过利用这些漏洞,威胁行为者几乎完全控制了设备。除此之外,攻击者还能够:

  • 收集登录 VPN 服务的用户的凭据

  • 使用这些凭据登录受保护的系统以搜索更多凭据

  • 修改文件以启用远程代码执行

  • 将 Web Shell 部署到多个 Web 服务器

  • 从设备返回到其命令和控制服务器 (C2) 的反向隧道

  • 通过禁用日志记录和清除现有日志来避开检测

小设备,大风险

这是一起严重事件,使客户面临重大风险。CISA 发布指令是合理的,Ivanti 正在努力减轻威胁并为其设备上的软件开发补丁。但这也是对传统“城堡与护城河”安全范式的又一控诉。在这种模式中,远程用户位于城堡外,而受保护的应用程序和资源则留在城堡内。由一层安全设备组成的护城河将两者分开。护城河(在本例中为 Ivanti 设备)负责对用户进行身份验证和授权,然后将他们连接到受保护的应用程序和资源。攻击者和其他坏人被挡在护城河边。

这一事件向我们展示了当坏人能够控制护城河本身时会发生什么,以及客户恢复控制权时面临的挑战。供应商提供的设备和传统安全策略的两个典型特征凸显了风险:

  • 管理员可以访问设备的内部结构

  • 经过身份验证的用户可以随意访问公司网络上的各种应用程序和资源,从而增加了不良行为者横向移动的风险

更好的方法:Cloudflare 的 SASE 平台

With network-level access, attackers can spread from an entry point to the rest of the network

Cloudflare One 是 Cloudflare 的 SSE 和单一供应商 SASE 平台。虽然 Cloudflare One 广泛涵盖安全和网络服务(您可以在此处阅读最新的新增功能),但我想重点关注上述两点。

首先,Cloudflare One 采用 Zero Trust 原则,包括最低权限原则。因此,成功验证的用户只能访问其角色所需的资源和应用程序。这一原则在用户帐户遭到入侵的情况下也很有帮助,因为不良行为者不会获得毫无限制的网络级访问权限。相反,最低权限限制了不良行为者的横向移动范围,从而有效减少了影响范围。

其次,虽然客户管理员需要有权配置其服务和策略,但 Cloudflare One 不提供对 Cloudflare 平台系统内部的任何外部访问权限。没有这种访问权限,不良行为者将无法发起有权访问 Ivanti 设备内部时所执行的攻击类型。

ZTNA helps prevent dangerous lateral movement on an organization’s corporate network

是时候淘汰传统 VPN 了

如果您的组织受到 CISA 指令的影响,或者您刚好想要进行现代化改造并希望增强或替换当前的 VPN 解决方案,Cloudflare 可以为您提供帮助。Cloudflare 的 Zero Trust 网络访问 (ZTNA) 服务是 Cloudflare One 平台的一部分,是将任何用户连接到任何应用程序的最快、最安全的方式。

欢迎联系我们以立即获得入门协助,或安排一场架构研讨会,帮助您增强或替换您的 Ivanti(或任何)VPN 解决方案。还没有准备好进行实时对话?请阅读我们的学习路径文章,了解如何使用 Cloudflare 替换您的 VPN,或阅读我们的 SASE 参考架构,了解我们所有的 SASE 服务和入口如何协同工作。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Security WeekVPNCloudflare OneCloudflare AccessVulnerabilitiesAttacksApplication Services

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年11月20日 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...